プラットフォーム
rust
コンポーネント
coolercontrol/coolercontrold
修正版
4.0.0
CVE-2026-5302 は、CoolerControl/coolercontrold における CORS (Cross-Origin Resource Sharing) の設定ミスです。この脆弱性を悪用されると、攻撃者は認証なしでリモートからデータを読み取ったり、サービスにコマンドを送信したりすることが可能になります。影響を受けるバージョンは 2.0.0 から 4.0.0 までの coolercontrold です。バージョン 4.0.0 へのアップデートでこの問題は修正されています。
この CORS の誤設定により、攻撃者は悪意のあるウェブサイトを介して CoolerControl/coolercontrold サービスにアクセスし、機密情報を盗み出す可能性があります。具体的には、温度センサーのデータ、設定情報、その他のシステム関連情報が漏洩するリスクがあります。さらに、攻撃者はコマンドを送信することで、冷却システムの動作を制御し、意図しない動作を引き起こす可能性があります。この脆弱性は、類似の CORS 設定ミスと同様に、攻撃者が他のシステムへの足がかりを得るための踏み台として利用される可能性も否定できません。攻撃範囲は、CoolerControl/coolercontrold が利用されているネットワーク全体に及ぶ可能性があります。
CVE-2026-5302 は 2026年4月8日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CORS の誤設定は比較的容易に悪用できるため、注意が必要です。EPSS スコアは、公開された情報が少ないため、現時点では評価が保留中です。公開されている NVD (National Vulnerability Database) の情報も限られています。この脆弱性に対する公開された Proof-of-Concept (PoC) コードは確認されていません。
Systems running coolercontrold versions 2.0.0 through 4.0.0 are at risk, particularly those exposed to the internet or accessible from untrusted networks. Shared hosting environments where coolercontrold is deployed alongside other applications are also at increased risk, as a compromised application could be used to exploit this vulnerability.
• rust / server:
curl -v -X GET 'http://<coolercontrold_ip>/api/data' -H 'Origin: http://attacker.com'If the response headers include Access-Control-Allow-Origin: * or Access-Control-Allow-Origin: http://attacker.com, the vulnerability is likely present.
• generic web:
curl -I http://<coolercontrold_ip>/api/data -H 'Origin: http://attacker.com'Inspect the response headers for Access-Control-Allow-Origin.
disclosure
エクスプロイト状況
EPSS
0.06% (19% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まず CoolerControl/coolercontrold をバージョン 4.0.0 にアップデートすることを推奨します。アップデートが困難な場合は、WAF (Web Application Firewall) やリバースプロキシを使用して、不正なオリジンからのリクエストをブロックするルールを設定してください。具体的には、Origin ヘッダーを検証し、許可されたオリジンのみを許可するルールを追加します。また、CoolerControl/coolercontrold の設定ファイルを確認し、CORS の設定が適切に行われているか確認してください。アップデート後、CORS の設定が正しく適用されていることを確認するために、別のオリジンからのリクエストを送信し、アクセスが拒否されていることを確認してください。
Actualice a la versión 4.0.0 o superior para mitigar la vulnerabilidad de configuración CORS permisiva. Esta actualización corrige la configuración incorrecta que permite a atacantes remotos leer datos y enviar comandos a través de sitios web maliciosos.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-5302 は、CoolerControl/coolercontrold の CORS 設定ミスによる脆弱性で、認証なしでリモート攻撃者がデータを読み取ったり、コマンドを送信したりできる可能性があります。
CoolerControl/coolercontrold のバージョンが 2.0.0~4.0.0 の場合、この脆弱性の影響を受けます。
CoolerControl/coolercontrold をバージョン 4.0.0 にアップデートしてください。アップデートが難しい場合は、WAF やリバースプロキシでオリジンを制限するルールを設定してください。
現時点では、CVE-2026-5302 を悪用した具体的な攻撃事例は報告されていません。
NVD (National Vulnerability Database) の CVE-2026-5302 のページで詳細な情報を確認できます。https://nvd.nist.gov/vuln/detail/CVE-2026-5302
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
Cargo.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。