Plateforme
linux
Composant
coolercontrold
Corrigé dans
4.0.0
La vulnérabilité CVE-2026-5300 affecte CoolerControl/coolercontrold, une application open-source, et permet à des attaquants non authentifiés d'accéder et de modifier des données sensibles. Cette faille d'accès non authentifié se manifeste par la possibilité d'effectuer des requêtes HTTP sans authentification, compromettant potentiellement la confidentialité et l'intégrité des données. Les versions concernées sont celles comprises entre 0.14.0 et 4.0.0 incluses. Une correction est disponible dans la version 4.0.0.
L'impact de cette vulnérabilité est significatif car elle permet à un attaquant non authentifié de compromettre la sécurité de l'application CoolerControl/coolercontrold. Un attaquant pourrait exploiter cette faille pour consulter des informations sensibles stockées par l'application, telles que des configurations système, des données de surveillance ou d'autres informations confidentielles. De plus, l'attaquant pourrait modifier ces données, ce qui pourrait entraîner un dysfonctionnement de l'application, une perte de données ou même une prise de contrôle du système sous-jacent. Bien qu'il n'y ait pas de référence directe à des incidents similaires, cette vulnérabilité rappelle les risques associés aux applications web mal configurées et manquant d'authentification appropriée.
La vulnérabilité CVE-2026-5300 a été rendue publique le 2026-04-08. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité d'une connaissance de l'application et de la configuration du réseau. Aucun proof-of-concept public n'a été identifié à ce jour, mais la nature de la vulnérabilité (accès non authentifié) la rend potentiellement exploitable par des attaquants ayant des compétences techniques.
Systems utilizing CoolerControl/coolercontrold in environments with direct network exposure are at risk. This includes deployments where the daemon is accessible from the internet or untrusted networks. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable.
• linux / server:
journalctl -u coolercontrold | grep -i "HTTP request"• linux / server:
ss -tulnp | grep coolercontrold• generic web:
curl -I http://<coolercontrold_ip>/ | grep -i "server: coolercontrold"disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour CoolerControl/coolercontrold vers la version 4.0.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre l'accès à l'application CoolerControl/coolercontrold en utilisant un pare-feu ou un proxy inverse pour limiter les requêtes HTTP provenant de sources non fiables. En outre, il est possible de configurer l'application pour exiger une authentification pour toutes les requêtes, même celles qui ne nécessitent pas normalement d'authentification. Vérifiez après la mise à jour que l'application fonctionne correctement et que l'accès non authentifié est bien bloqué.
Mettez à jour vers la version 4.0.0 ou supérieure pour atténuer la vulnérabilité. Cette version implémente l'authentification nécessaire pour protéger les données sensibles et éviter l'accès non autorisé via des requêtes HTTP.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5300 décrit une vulnérabilité d'accès non authentifié dans CoolerControl/coolercontrold (versions 0.14.0–4.0.0) permettant à des attaquants non authentifiés de consulter et modifier des données sensibles via des requêtes HTTP.
Vous êtes affecté si vous utilisez CoolerControl/coolercontrold dans les versions comprises entre 0.14.0 et 4.0.0 incluses. La mise à jour vers la version 4.0.0 est nécessaire pour corriger cette vulnérabilité.
La solution est de mettre à jour CoolerControl/coolercontrold vers la version 4.0.0 ou supérieure. Si la mise à jour n'est pas possible immédiatement, appliquez des mesures de mitigation temporaires comme la restriction de l'accès réseau.
À ce jour, il n'y a pas d'indication d'une exploitation active de CVE-2026-5300, mais la nature de la vulnérabilité la rend potentiellement exploitable.
Consultez le site web officiel de CoolerControl ou le dépôt GitHub du projet pour obtenir les informations et les mises à jour concernant CVE-2026-5300.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.