ellite Wallos hasta 4.6.x AI Recommendations Endpoint AI Ollama host escalada de privilegios
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 6.2 | $0-$5k | 1.43 |
Resumen
Se ha encontrado una vulnerabilidad clasificada como crítica en ellite Wallos hasta 4.6.x. Resulta afectada una función desconocida dentro del componente AI Recommendations Endpoint. Por la manipulación del parámetro AI Ollama host de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esta vulnerabilidad está identificada como CVE-2026-33401. El ataque se puede hacer desde la red. No hay ningún exploit disponible. Es recomendable actualizar el componente afectado.
Detalles
Una vulnerabilidad fue encontrada en ellite Wallos hasta 4.6.x y clasificada como crítica. Una función desconocida del componente AI Recommendations Endpoint es afectada por esta vulnerabilidad. Mediante la manipulación del parámetro AI Ollama host de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. El resumen de CVE es:
Wallos es un rastreador de suscripciones personales de código abierto y autoalojable. Antes de la versión 4.7.0, el parche introducido en el commit e8a513591 (CVE-2026-30840) añadió protección SSRF a los puntos finales de prueba de notificación, pero dejó tres superficies de ataque adicionales desprotegidas: el parámetro de host de AI Ollama, el punto final de recomendaciones de AI y el trabajo cron de notificación. Un usuario autenticado puede alcanzar servicios de red internos, puntos finales de metadatos en la nube (AWS IMDSv1, GCP, Azure IMDS) o servicios vinculados a localhost al proporcionar una URL manipulada a cualquiera de estos puntos finales. Este problema ha sido parcheado en la versión 4.7.0.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2026-33401. La explotación se considera fácil. El ataque se puede efectuar a través de la red. Detalles técnicos son conocidos, pero no hay ningún exploit público disponible.
Una actualización a la versión 4.7.0 elimina esta vulnerabilidad.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Producto
Proveedor
Nombre
Versión
Sitio web
- Producto: https://github.com/ellite/Wallos/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Confiabilidad: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Puntuación meta base: 6.4VulDB Puntuación meta temporal: 6.2
VulDB Puntuación base: 6.3
VulDB Puntuación temporal: 6.0
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍
NVD Puntuación base: 6.5
NVD Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍
Explotación
Clase: Escalada de privilegiosCWE: CWE-918
CAPEC: 🔒
ATT&CK: 🔒
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔒
Estado: No está definido
EPSS Score: 🔒
EPSS Percentile: 🔒
Predicción de precios: 🔍
Estimación del precio actual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔒
Actualización: Wallos 4.7.0
Línea de tiempo
2026-03-19 CVE asignado2026-03-24 Aviso publicado
2026-03-24 Entrada de VulDB creada
2026-03-29 Última actualización de VulDB
Fuentes
Producto: github.comAviso: github.com
Estado: Confirmado
CVE: CVE-2026-33401 (🔒)
GCVE (CVE): GCVE-0-2026-33401
GCVE (VulDB): GCVE-100-352831
Artículo
Fecha de creación: 2026-03-24 19:09Actualizado: 2026-03-29 03:49
Cambios: 2026-03-24 19:09 (68), 2026-03-29 03:49 (12)
Completo: 🔍
Cache ID: 216:4AF:103
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.