प्लेटफ़ॉर्म
vue
घटक
coolercontrol-ui
में ठीक किया गया
4.0.0
CVE-2026-5301 coolercontrol-ui में एक गंभीर क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को लॉग व्यूअर के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति देती है, जिससे वे सेवा पर नियंत्रण कर सकते हैं। यह भेद्यता coolercontrol-ui के संस्करण 2.0.0 से 4.0.0 तक के संस्करणों को प्रभावित करती है। संस्करण 4.0.0 में एक पैच जारी किया गया है।
यह XSS भेद्यता हमलावरों को coolercontrol-ui सेवा पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देती है। वे उपयोगकर्ता सत्रों को हाईजैक कर सकते हैं, संवेदनशील डेटा चुरा सकते हैं, या सेवा को दुर्भावनापूर्ण कार्यों के लिए उपयोग कर सकते हैं। चूंकि लॉग व्यूअर अक्सर सिस्टम गतिविधि को देखने के लिए उपयोग किया जाता है, इसलिए हमलावर सिस्टम के बारे में महत्वपूर्ण जानकारी प्राप्त करने के लिए इस भेद्यता का उपयोग कर सकते हैं। यह भेद्यता अन्य प्रणालियों में आगे बढ़ने के लिए एक प्रारंभिक बिंदु के रूप में भी काम कर सकती है, खासकर यदि coolercontrol-ui नेटवर्क के भीतर अन्य महत्वपूर्ण प्रणालियों से जुड़ा हुआ है।
CVE-2026-5301 को अभी तक सक्रिय रूप से शोषण करने के कोई संकेत नहीं मिले हैं, लेकिन XSS भेद्यताओं की सामान्य प्रकृति के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन XSS भेद्यताओं के लिए कई सामान्य PoC मौजूद हैं जिनका उपयोग इस भेद्यता का शोषण करने के लिए किया जा सकता है।
Organizations using coolercontrol-ui in production environments, particularly those with publicly accessible log viewers, are at risk. Shared hosting environments where multiple users share the same coolercontrol-ui instance are also particularly vulnerable, as an attacker could potentially inject malicious log entries that affect other users.
• vue / generic web:
curl -s 'http://<coolercontrol-ui-url>/log' | grep -i '<script>' • vue / generic web:
curl -s 'http://<coolercontrol-ui-url>/log' | grep -i 'onerror='• vue / generic web:
curl -s 'http://<coolercontrol-ui-url>/log' | grep -i 'javascript:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-5301 को कम करने के लिए, तुरंत coolercontrol-ui को संस्करण 4.0.0 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो लॉग व्यूअर के इनपुट को सख्त रूप से फ़िल्टर करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करने पर विचार करें। लॉग प्रविष्टियों में किसी भी उपयोगकर्ता-प्रदत्त डेटा को सैनिटाइज करें ताकि दुर्भावनापूर्ण स्क्रिप्ट को निष्पादित होने से रोका जा सके। अस्थायी रूप से लॉग व्यूअर सुविधा को अक्षम करना भी एक विकल्प हो सकता है यदि तत्काल अपडेट संभव नहीं है। अपडेट के बाद, यह सुनिश्चित करने के लिए लॉग व्यूअर की कार्यक्षमता का परीक्षण करें कि यह ठीक से काम कर रहा है और कोई नई भेद्यता नहीं है।
Actualice a la versión 4.0.0 o superior para mitigar la vulnerabilidad de XSS. Esta actualización corrige la falta de neutralización adecuada de la entrada durante la generación de la página web, previniendo la inyección de código JavaScript malicioso en las entradas del visor de registros.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-5301 coolercontrol-ui के लॉग व्यूअर में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण जावास्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप coolercontrol-ui के संस्करण 2.0.0 से 4.0.0 तक चला रहे हैं, तो आप प्रभावित हैं।
तुरंत coolercontrol-ui को संस्करण 4.0.0 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करें या लॉग व्यूअर सुविधा को अक्षम करें।
अभी तक सक्रिय शोषण के कोई संकेत नहीं मिले हैं, लेकिन भेद्यता शोषण के लिए एक लक्ष्य बनी हुई है।
कृपया coolercontrol-ui की आधिकारिक वेबसाइट या सुरक्षा सलाहकार अनुभाग देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।