Laatgaande Cross-domain Policy met Onbetrouwbare Domeinen in coolercontrold

De impact van deze CORS misconfiguratie is aanzienlijk. Een succesvolle exploitatie stelt een aanvaller in staat om gevoelige data te extraheren die door de coolercontrold service wordt beheerd. Dit kan bijvoorbeeld temperatuurgegevens, configuratie-instellingen of andere systeemparameters omvatten. Bovendien kan de aanvaller commando's versturen naar de service, wat kan leiden tot ongewenste acties, zoals het manipuleren van de koeling of het uitschakelen van de service. De aanval wordt uitgevoerd via een kwaadaardige website, waardoor de aanvaller de controle over de service kan overnemen zonder authenticatie. De blast radius is afhankelijk van de privileges die de coolercontrold service heeft op het systeem; indien deze root-rechten heeft, kan de impact aanzienlijk zijn.

Systems running coolercontrold versions 2.0.0 through 4.0.0 are at risk, particularly those exposed to the internet or accessible from untrusted networks. Shared hosting environments where coolercontrold is deployed alongside other applications are also at increased risk, as a compromised application could be used to exploit this vulnerability.

• rust / server:

curl -v -X GET 'http://<coolercontrold_ip>/api/data' -H 'Origin: http://attacker.com'

If the response headers include Access-Control-Allow-Origin: * or Access-Control-Allow-Origin: http://attacker.com, the vulnerability is likely present. • generic web:

curl -I http://<coolercontrold_ip>/api/data -H 'Origin: http://attacker.com'

Inspect the response headers for Access-Control-Allow-Origin.

1. 2026-04-08Disclosure

   disclosure

1. Gereserveerd2026-04-01
2. Gepubliceerd2026-04-08
3. EPSS bijgewerkt2026-04-16

De primaire mitigatie voor CVE-2026-5302 is het upgraden naar versie 4.0.0 van coolercontrold, waarin de CORS misconfiguratie is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het configureren van een Web Application Firewall (WAF) of proxy om CORS-verzoeken te blokkeren die afkomstig zijn van onbetrouwbare bronnen. Specifieke WAF-regels moeten worden ingesteld om alleen verzoeken toe te staan van vertrouwde origins. Het is ook aan te raden om de configuratie van de coolercontrold service te herzien en te zorgen voor een strikte CORS-beleid. Na de upgrade, controleer de configuratie van coolercontrold om te bevestigen dat CORS correct is geconfigureerd en alleen toegestaan is voor de beoogde origins.