CVE-2026-34762

Name of the Vulnerable Software and Affected Versions Ella Core versões anteriores a 1.8.0

Description A endpoint da API PUT /api/v1/subscriber/{imsi} aceita um identificador IMSI tanto do caminho da URL quanto do corpo da solicitação JSON sem verificar se eles correspondem. Isso permite que um NetworkManager autenticado modifique a política de qualquer assinante enquanto o rastreamento de auditoria registra um IMSI de assinante fabricado ou não relacionado. Um invasor pode modificar a Política de Qualidade de Serviço (QoS) de um assinante, degradando potencialmente o serviço ou alterando o roteamento do tráfego, enquanto o log de auditoria atribui a alteração a um assinante inexistente ou não relacionado.

Recommendations Atualize para a versão 1.8.0 ou posterior.