HIGHCVE-2026-5301CVSS 7.6

Webページ生成時の入力の不適切な無効化 ('Cross-site Scripting') coolercontrol-ui における脆弱性

プラットフォーム

vue

コンポーネント

coolercontrol-ui

修正版

4.0.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5301は、CoolerControl/coolercontrol-uiの2.0.0から4.0.0までのバージョンに存在する保存型クロスサイトスクリプティング（XSS）脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のあるJavaScriptコードをログエントリに埋め込むことで、認証なしにサービスを乗っ取ることが可能になります。バージョン4.0.0でこの脆弱性が修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がCoolerControl UIのログビューアを通じて任意のJavaScriptコードを実行できることを意味します。攻撃者は、このコードを使用して、ユーザーのセッションを盗み、機密情報を盗み出し、または他の悪意のあるアクションを実行する可能性があります。特に、管理者権限を持つユーザーがログビューアにアクセスした場合、攻撃者はシステム全体を制御する可能性があります。この脆弱性は、他のXSS脆弱性と類似しており、攻撃者はフィッシング攻撃やマルウェアの配布に利用する可能性があります。

悪用の状況

CVE-2026-5301は、2026年4月8日に公開されました。現時点では、この脆弱性を悪用する公開されたPoCは確認されていませんが、XSS脆弱性であるため、攻撃者による悪用が懸念されます。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

Organizations using coolercontrol-ui in production environments, particularly those with publicly accessible log viewers, are at risk. Shared hosting environments where multiple users share the same coolercontrol-ui instance are also particularly vulnerable, as an attacker could potentially inject malicious log entries that affect other users.

検出手順翻訳中…

• vue / generic web:

curl -s 'http://<coolercontrol-ui-url>/log' | grep -i '<script>'

• vue / generic web:

curl -s 'http://<coolercontrol-ui-url>/log' | grep -i 'onerror='

• vue / generic web:

curl -s 'http://<coolercontrol-ui-url>/log' | grep -i 'javascript:'

攻撃タイムライン

2026-04-08Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.02% (6% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントcoolercontrol-ui

ベンダーCoolerControl

影響範囲修正版

2.0.0 – 4.0.04.0.0

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-04-01
公開日2026-04-08
EPSS 更新日2026-04-16

緩和策と回避策

この脆弱性への対応策として、まずcoolercontrol-uiをバージョン4.0.0にアップデートすることを推奨します。アップデートが困難な場合は、ログビューアへの入力を厳密に検証し、サニタイズすることで、XSS攻撃のリスクを軽減できます。また、Webアプリケーションファイアウォール（WAF）を導入し、XSS攻撃を検知・防御することも有効です。ログエントリの表示前に、HTMLエンコードなどの処理を適用することで、JavaScriptコードの実行を防ぐことができます。

修正方法翻訳中…

Actualice a la versión 4.0.0 o superior para mitigar la vulnerabilidad de XSS. Esta actualización corrige la falta de neutralización adecuada de la entrada durante la generación de la página web, previniendo la inyección de código JavaScript malicioso en las entradas del visor de registros.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5301 — XSS in coolercontrol-uiとは何ですか？

CVE-2026-5301は、CoolerControl/coolercontrol-ui 2.0.0～4.0.0のログビューアに存在する保存型XSS脆弱性です。攻撃者は悪意のあるJavaScriptを埋め込んだログエントリを通じてサービスを乗っ取ることが可能です。

CVE-2026-5301 in coolercontrol-uiの影響はありますか？

CoolerControl UIのバージョン2.0.0から4.0.0を使用している場合、この脆弱性により攻撃を受け、サービスが乗っ取られる可能性があります。

CVE-2026-5301 in coolercontrol-uiを修正するにはどうすればよいですか？

CoolerControl UIをバージョン4.0.0にアップデートすることを推奨します。アップデートが難しい場合は、ログビューアへの入力を検証し、WAFを導入するなど、緩和策を講じてください。

CVE-2026-5301は積極的に悪用されていますか？

現時点では公開されたPoCは確認されていませんが、XSS脆弱性であるため、悪用される可能性はあります。

CVE-2026-5301に関する公式のcoolercontrol-uiのアドバイザリはどこで入手できますか？

CoolerControlの公式ウェブサイトまたはGitHubリポジトリで、CVE-2026-5301に関するアドバイザリをご確認ください。

Webページ生成時の入力の不適切な無効化 ('Cross-site Scripting') coolercontrol-ui における脆弱性

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法翻訳中…

CVEセキュリティニュースレター

よくある質問

CVE-2026-5301 — XSS in coolercontrol-uiとは何ですか？

CVE-2026-5301 in coolercontrol-uiの影響はありますか？

CVE-2026-5301 in coolercontrol-uiを修正するにはどうすればよいですか？

CVE-2026-5301は積極的に悪用されていますか？

CVE-2026-5301に関する公式のcoolercontrol-uiのアドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?