Plateforme
rust
Composant
coolercontrol/coolercontrold
Corrigé dans
4.0.0
CVE-2026-5302 is a medium-severity vulnerability affecting coolercontrold versions 2.0.0 through 4.0.0. A CORS misconfiguration allows unauthenticated attackers to read data and send commands to the service. This vulnerability arises from improper CORS settings, enabling cross-origin requests without adequate restrictions. The issue is resolved in version 4.0.0.
La vulnérabilité CVE-2026-5302 dans coolercontrold (versions antérieures à 4.0.0) est due à une configuration incorrecte de CORS (Cross-Origin Resource Sharing). Cela permet à des attaquants distants non authentifiés de lire des données et d'envoyer des commandes au service via des sites web malveillants. Un attaquant pourrait exploiter cette vulnérabilité pour obtenir un accès non autorisé à la configuration du système de refroidissement, modifiant potentiellement son fonctionnement ou extrayant des informations sensibles. L'impact est significatif, en particulier dans les environnements où coolercontrold contrôle des équipements critiques. L'absence d'authentification élargit la surface d'attaque, rendant le système vulnérable à un large éventail de menaces. La gravité de la vulnérabilité est notée CVSS 6.3, indiquant un risque modéré à élevé.
Un attaquant pourrait créer un site web malveillant qui charge des scripts interagissant avec l'instance vulnérable de coolercontrold. Ces scripts pourraient utiliser JavaScript pour effectuer des requêtes vers l'API de coolercontrold, en tirant parti de la configuration incorrecte de CORS pour contourner les restrictions de sécurité du même origine. L'attaquant pourrait alors lire des données sensibles, telles que la configuration du système de refroidissement, ou envoyer des commandes pour modifier son fonctionnement. L'exploitation est relativement simple, car elle ne nécessite pas d'authentification. Le succès de l'exploitation dépend de la capacité de l'attaquant à inciter les utilisateurs à visiter le site web malveillant ou à exécuter des scripts dans un environnement où coolercontrold est accessible.
Systems running coolercontrold versions 2.0.0 through 4.0.0 are at risk, particularly those exposed to the internet or accessible from untrusted networks. Shared hosting environments where coolercontrold is deployed alongside other applications are also at increased risk, as a compromised application could be used to exploit this vulnerability.
• rust / server:
curl -v -X GET 'http://<coolercontrold_ip>/api/data' -H 'Origin: http://attacker.com'If the response headers include Access-Control-Allow-Origin: * or Access-Control-Allow-Origin: http://attacker.com, the vulnerability is likely present.
• generic web:
curl -I http://<coolercontrold_ip>/api/data -H 'Origin: http://attacker.com'Inspect the response headers for Access-Control-Allow-Origin.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer CVE-2026-5302 est de mettre à jour coolercontrold à la version 4.0.0 ou ultérieure. Cette version inclut des correctifs pour la configuration incorrecte de CORS. De plus, il est recommandé de revoir et de renforcer la configuration CORS dans coolercontrold, en limitant l'accès à des domaines spécifiques et en n'autorisant que les requêtes nécessaires. La mise en œuvre d'une authentification robuste pour l'accès au service est également essentielle pour prévenir les accès non autorisés. La surveillance des journaux système à la recherche d'activités suspectes peut aider à détecter et à répondre aux attaques potentielles. Enfin, il est important de maintenir tous les composants du système à jour afin de minimiser l'exposition aux vulnérabilités connues.
Actualice a la versión 4.0.0 o superior para mitigar la vulnerabilidad de configuración CORS permisiva. Esta actualización corrige la configuración incorrecta que permite a atacantes remotos leer datos y enviar comandos a través de sitios web maliciosos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CORS est un mécanisme de sécurité qui contrôle l'accès aux ressources web à partir de différents domaines. Une configuration incorrecte peut permettre un accès non autorisé.
Elle permet aux attaquants de lire des données et d'envoyer des commandes à coolercontrold sans authentification, compromettant la sécurité du système de refroidissement.
Oui, la mise à jour vers la version 4.0.0 ou ultérieure est la solution recommandée pour atténuer la vulnérabilité.
Mettre en œuvre une authentification robuste, revoir la configuration CORS et surveiller les journaux système.
Il existe des scanners de vulnérabilités qui peuvent identifier les configurations CORS incorrectes. Consultez la documentation de coolercontrold pour plus d'informations.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Cargo.lock et nous te dirons instantanément si tu es affecté.