Platform
vue
Component
coolercontrol-ui
Opgelost in
4.0.0
CVE-2026-5301 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in coolercontrol-ui. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om de service over te nemen door kwaadaardige JavaScript in vergiftigde logbestanden te injecteren. De kwetsbaarheid treft versies 2.0.0 tot en met 4.0.0 van coolercontrol-ui. Een fix is beschikbaar in versie 4.0.0.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot volledige overname van de coolercontrol-ui service. Aanvallers kunnen kwaadaardige scripts uitvoeren in de context van de gebruiker, waardoor ze toegang kunnen krijgen tot gevoelige informatie, sessiecookies kunnen stelen en mogelijk toegang kunnen krijgen tot onderliggende systemen. De impact is aanzienlijk, aangezien de kwetsbaarheid ongeauthenticeerde toegang toestaat, wat het risico op misbruik aanzienlijk verhoogt. Het is vergelijkbaar met andere XSS-aanvallen waarbij aanvallers de gebruikersinterface kunnen manipuleren om schadelijke acties uit te voeren.
CVE-2026-5301 is openbaar bekend en de kwetsbaarheid is relatief eenvoudig te exploiteren. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de lage drempel voor exploitatie maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en de publicatiedatum is 2026-04-08. De EPSS score is nog niet bekend.
Organizations using coolercontrol-ui in production environments, particularly those with publicly accessible log viewers, are at risk. Shared hosting environments where multiple users share the same coolercontrol-ui instance are also particularly vulnerable, as an attacker could potentially inject malicious log entries that affect other users.
• vue / generic web:
curl -s 'http://<coolercontrol-ui-url>/log' | grep -i '<script>' • vue / generic web:
curl -s 'http://<coolercontrol-ui-url>/log' | grep -i 'onerror='• vue / generic web:
curl -s 'http://<coolercontrol-ui-url>/log' | grep -i 'javascript:'disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-5301 is het upgraden van coolercontrol-ui naar versie 4.0.0 of hoger, waar de kwetsbaarheid is verholpen. Als een directe upgrade niet mogelijk is, overweeg dan om de logviewer-functionaliteit tijdelijk uit te schakelen om het aanvalsoppervlak te verkleinen. Implementeer inputvalidatie en output encoding op alle logbestanden om te voorkomen dat kwaadaardige scripts worden opgeslagen. Configureer een Web Application Firewall (WAF) om XSS-aanvallen te detecteren en te blokkeren. Na de upgrade, controleer de logbestanden op tekenen van compromittering en bevestig dat de kwetsbaarheid is verholpen door te proberen een XSS-payload in te voeren in de logviewer.
Actualice a la versión 4.0.0 o superior para mitigar la vulnerabilidad de XSS. Esta actualización corrige la falta de neutralización adecuada de la entrada durante la generación de la página web, previniendo la inyección de código JavaScript malicioso en las entradas del visor de registros.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5301 is a stored Cross-Site Scripting (XSS) vulnerability in coolercontrol-ui versions 2.0.0–4.0.0 that allows attackers to inject malicious JavaScript via poisoned log entries.
You are affected if you are running coolercontrol-ui versions 2.0.0 through 4.0.0 and have not yet upgraded to version 4.0.0.
Upgrade to version 4.0.0 of coolercontrol-ui. As a temporary mitigation, implement input sanitization and output encoding on all user-supplied data displayed in the log viewer.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that it will be exploited, and a POC is expected to be released.
Refer to the coolercontrol-ui project's repository or website for the official advisory and release notes regarding CVE-2026-5301.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.