CVE-2026-5300: 情報漏洩・改ざん in CoolerControl/coolercontrold

この脆弱性は、攻撃者が認証なしでCoolerControl/coolercontroldにアクセスし、機密情報を閲覧または改ざんすることを可能にします。攻撃者は、システム設定、ログデータ、または他の機密情報にアクセスし、悪用する可能性があります。さらに、攻撃者はシステムを制御し、不正な操作を実行する可能性もあります。この脆弱性の悪用は、データ漏洩、システム停止、および評判の低下につながる可能性があります。類似の脆弱性では、攻撃者がシステム設定を改ざんし、バックドアを設置することで、永続的なアクセス権を取得する事例も報告されています。

Systems utilizing CoolerControl/coolercontrold in environments with direct network exposure are at risk. This includes deployments where the daemon is accessible from the internet or untrusted networks. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable.

• linux / server:

journalctl -u coolercontrold | grep -i "HTTP request"

• linux / server:

ss -tulnp | grep coolercontrold

• generic web:

curl -I http://<coolercontrold_ip>/ | grep -i "server: coolercontrold"

1. 2026-04-08Disclosure

   disclosure

1. 予約済み2026-04-01
2. 公開日2026-04-08
3. EPSS 更新日2026-04-16

CoolerControl/coolercontroldのバージョンを4.0.0にアップデートすることが最も効果的な対策です。アップデートがすぐに利用できない場合は、一時的な回避策として、CoolerControl/coolercontroldへのアクセスを制限するファイアウォールルールを実装することを検討してください。また、WAF（Web Application Firewall）を使用して、悪意のあるHTTPリクエストをブロックすることも有効です。アクセスログを監視し、異常なアクティビティを検出することも重要です。アップデート後、システムが正常に動作していることを確認し、機密データへの不正アクセスがないことを確認してください。