Plattform
rust
Komponente
coolercontrol/coolercontrold
Behoben in
4.0.0
CVE-2026-5302 is a medium-severity vulnerability affecting coolercontrold versions 2.0.0 through 4.0.0. A CORS misconfiguration allows unauthenticated attackers to read data and send commands to the service. This vulnerability arises from improper CORS settings, enabling cross-origin requests without adequate restrictions. The issue is resolved in version 4.0.0.
Die CVE-2026-5302-Schwachstelle in coolercontrold (Versionen vor 4.0.0) ist auf eine fehlerhafte CORS-Konfiguration (Cross-Origin Resource Sharing) zurückzuführen. Dies ermöglicht nicht authentifizierten Remote-Angreifern, Daten zu lesen und Befehle an den Dienst über bösartige Websites zu senden. Ein Angreifer könnte diese Schwachstelle ausnutzen, um unbefugten Zugriff auf die Konfiguration des Kühlsystems zu erhalten, dessen Betrieb potenziell zu verändern oder sensible Informationen zu extrahieren. Der Einfluss ist erheblich, insbesondere in Umgebungen, in denen coolercontrold kritische Geräte steuert. Das Fehlen einer Authentifizierung erweitert die Angriffsfläche und macht das System anfällig für eine Vielzahl von Bedrohungen. Die Schwere der Schwachstelle wird mit CVSS 6.3 bewertet, was ein moderates bis hohes Risiko anzeigt.
Ein Angreifer könnte eine bösartige Website erstellen, die Skripte lädt, die mit der anfälligen Instanz von coolercontrold interagieren. Diese Skripte könnten JavaScript verwenden, um Anfragen an die coolercontrold-API zu senden und dabei die fehlerhafte CORS-Konfiguration ausnutzen, um die Same-Origin-Sicherheitsbeschränkungen zu umgehen. Der Angreifer könnte dann sensible Daten wie die Konfiguration des Kühlsystems lesen oder Befehle senden, um dessen Betrieb zu verändern. Die Ausnutzung ist relativ einfach, da keine Authentifizierung erforderlich ist. Der Erfolg der Ausnutzung hängt von der Fähigkeit des Angreifers ab, Benutzer dazu zu verleiten, die bösartige Website zu besuchen oder Skripte in einer Umgebung auszuführen, in der coolercontrold zugänglich ist.
Systems running coolercontrold versions 2.0.0 through 4.0.0 are at risk, particularly those exposed to the internet or accessible from untrusted networks. Shared hosting environments where coolercontrold is deployed alongside other applications are also at increased risk, as a compromised application could be used to exploit this vulnerability.
• rust / server:
curl -v -X GET 'http://<coolercontrold_ip>/api/data' -H 'Origin: http://attacker.com'If the response headers include Access-Control-Allow-Origin: * or Access-Control-Allow-Origin: http://attacker.com, the vulnerability is likely present.
• generic web:
curl -I http://<coolercontrold_ip>/api/data -H 'Origin: http://attacker.com'Inspect the response headers for Access-Control-Allow-Origin.
disclosure
Exploit-Status
EPSS
0.06% (19% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung zur Minderung von CVE-2026-5302 ist die Aktualisierung von coolercontrold auf Version 4.0.0 oder höher. Diese Version enthält Korrekturen für die fehlerhafte CORS-Konfiguration. Darüber hinaus wird empfohlen, die CORS-Konfiguration in coolercontrold zu überprüfen und zu härten, den Zugriff auf bestimmte Domänen zu beschränken und nur erforderliche Anfragen zuzulassen. Die Implementierung einer robusten Authentifizierung für den Zugriff auf den Dienst ist ebenfalls entscheidend, um unbefugten Zugriff zu verhindern. Die Überwachung der Systemprotokolle auf verdächtige Aktivitäten kann dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren. Schließlich ist es wichtig, alle Systemkomponenten auf dem neuesten Stand zu halten, um die Exposition gegenüber bekannten Schwachstellen zu minimieren.
Actualice a la versión 4.0.0 o superior para mitigar la vulnerabilidad de configuración CORS permisiva. Esta actualización corrige la configuración incorrecta que permite a atacantes remotos leer datos y enviar comandos a través de sitios web maliciosos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
CORS ist ein Sicherheitsmechanismus, der den Zugriff auf Webressourcen von verschiedenen Domänen steuert. Eine fehlerhafte Konfiguration kann unbefugten Zugriff ermöglichen.
Sie ermöglicht es Angreifern, Daten zu lesen und Befehle an coolercontrold zu senden, ohne Authentifizierung, wodurch die Sicherheit des Kühlsystems gefährdet wird.
Ja, die Aktualisierung auf Version 4.0.0 oder höher ist die empfohlene Lösung, um die Schwachstelle zu beheben.
Implementieren Sie eine robuste Authentifizierung, überprüfen Sie die CORS-Konfiguration und überwachen Sie die Systemprotokolle.
Es gibt Schwachstellenscanner, die fehlerhafte CORS-Einstellungen identifizieren können. Weitere Informationen finden Sie in der coolercontrold-Dokumentation.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Cargo.lock-Datei hoch und wir sagen dir sofort, ob du betroffen bist.