प्लेटफ़ॉर्म
linux
घटक
coolercontrold
में ठीक किया गया
4.0.0
CVE-2026-5208 is a Command Injection vulnerability discovered in coolercontrold, a component used for temperature monitoring and control. An authenticated attacker can exploit this flaw to execute arbitrary commands on the system with root privileges by injecting malicious bash commands into alert names. This vulnerability affects versions 3.1.0 through 4.0.0 of coolercontrold. A patch has been released, resolving the issue in version 4.0.0.
CVE-2026-5208 coolercontrold के 4.0.0 से पहले के संस्करणों को प्रभावित करता है, जिससे प्रमाणित हमलावरों को रूट के रूप में सिस्टम पर मनमाना कमांड निष्पादित करने की अनुमति मिलती है। यह अलर्ट नामों में बैश कमांड इंजेक्ट करके प्राप्त किया जाता है। CoolerControl सिस्टम तक पहुंच रखने वाले प्रमाणित हमलावर ऑपरेटिंग सिस्टम कमांड युक्त दुर्भावनापूर्ण नाम के साथ एक अलर्ट बना सकते हैं। जब सिस्टम इस अलर्ट नाम को संसाधित करता है, तो इंजेक्ट किए गए कमांड निष्पादित किए जाते हैं, जिससे हमलावर को रूट विशेषाधिकारों के साथ सिस्टम पर नियंत्रण प्राप्त होता है। इस भेद्यता की गंभीरता उच्च है, क्योंकि यह सिस्टम पर पूर्ण नियंत्रण की अनुमति देती है। इस जोखिम को कम करने के लिए संस्करण 4.0.0 या बाद में अपग्रेड करना आवश्यक है।
यह भेद्यता दुर्भावनापूर्ण बैश कमांड युक्त नाम के साथ अलर्ट बनाकर शोषण किया जाता है। एक प्रमाणित हमलावर इस भेद्यता का उपयोग सिस्टम पर रूट के रूप में मनमाना कमांड निष्पादित करने के लिए कर सकता है। शोषण की सफलता CoolerControl सिस्टम तक प्रमाणित पहुंच और अलर्ट बनाने की क्षमता पर निर्भर करती है। शोषण की जटिलता अपेक्षाकृत कम है, क्योंकि इसके लिए उन्नत तकनीकी कौशल की आवश्यकता नहीं होती है। हालांकि, संभावित प्रभाव बहुत अधिक है, क्योंकि यह सिस्टम पर पूर्ण नियंत्रण की अनुमति देता है। इस भेद्यता के शोषण को सुविधाजनक बनाने वाली किसी भी गलत कॉन्फ़िगरेशन की पहचान और सुधार करने के लिए सुरक्षा ऑडिट की सिफारिश की जाती है।
एक्सप्लॉइट स्थिति
EPSS
0.08% (23% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-5208 के लिए समाधान coolercontrold को संस्करण 4.0.0 या बाद में अपग्रेड करना है। यह संस्करण अलर्ट नामों को उचित रूप से सैनिटाइज करके भेद्यता को ठीक करता है, जिससे मनमाना कमांड निष्पादित होने से रोका जा सकता है। इस बीच, एक अस्थायी उपाय के रूप में, केवल विश्वसनीय उपयोगकर्ताओं को ही अलर्ट निर्माण कार्यक्षमता तक पहुंच सीमित करें। इसके अतिरिक्त, अलर्ट निर्माण या संशोधन से संबंधित सिस्टम लॉग में किसी भी संदिग्ध गतिविधि की निगरानी करें। शोषण के जोखिम को पूरी तरह से खत्म करने के लिए अपग्रेड सबसे प्रभावी और अनुशंसित समाधान है।
Actualice a la versión 4.0.0 o superior para mitigar la vulnerabilidad de inyección de comandos. Esta versión corrige la falta de neutralización de elementos especiales en los nombres de las alertas, evitando la ejecución de comandos arbitrarios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
कूलर कंट्रोल एक डेमॉन है जो सर्वरों में कूलिंग हार्डवेयर को नियंत्रित करता है।
रूट एक Linux सिस्टम पर उच्चतम विशेषाधिकारों वाला उपयोगकर्ता है, जो पूर्ण पहुंच और नियंत्रण की अनुमति देता है।
आप कमांड लाइन में coolercontrold --version कमांड चलाकर संस्करण की जांच कर सकते हैं।
एक अस्थायी उपाय के रूप में, अलर्ट निर्माण तक पहुंच को सीमित करें और सिस्टम लॉग की निगरानी करें।
एक सुरक्षा ऑडिट करें और सिस्टम लॉग में असामान्य कमांड देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।