Plataforma
vue
Componente
coolercontrol-ui
Corrigido em
4.0.0
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado foi descoberta no componente coolercontrol-ui, afetando versões entre 2.0.0 e 4.0.0. Atacantes não autenticados podem explorar essa falha injetando código JavaScript malicioso em entradas de log, comprometendo a segurança do serviço. A vulnerabilidade foi publicada em 8 de abril de 2026 e uma correção está disponível na versão 4.0.0.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute scripts maliciosos no navegador de qualquer usuário que acesse o visualizador de logs do coolercontrol-ui. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à execução remota de código no servidor, dependendo das permissões do contexto em que o script é executado. O impacto é significativo, pois a falha não requer autenticação, tornando-a acessível a qualquer pessoa que possa manipular as entradas de log.
A vulnerabilidade foi divulgada publicamente em 8 de abril de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, pois a exploração é relativamente simples.
Organizations using coolercontrol-ui in production environments, particularly those with publicly accessible log viewers, are at risk. Shared hosting environments where multiple users share the same coolercontrol-ui instance are also particularly vulnerable, as an attacker could potentially inject malicious log entries that affect other users.
• vue / generic web:
curl -s 'http://<coolercontrol-ui-url>/log' | grep -i '<script>' • vue / generic web:
curl -s 'http://<coolercontrol-ui-url>/log' | grep -i 'onerror='• vue / generic web:
curl -s 'http://<coolercontrol-ui-url>/log' | grep -i 'javascript:'disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o coolercontrol-ui para a versão 4.0.0, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, implemente validação e sanitização rigorosas de todas as entradas de log antes de exibi-las no visualizador. Considere a implementação de uma Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns. Além disso, revise as configurações de segurança do servidor para garantir que o acesso ao visualizador de logs seja restrito a usuários autorizados.
Actualice a la versión 4.0.0 o superior para mitigar la vulnerabilidad de XSS. Esta actualización corrige la falta de neutralización adecuada de la entrada durante la generación de la página web, previniendo la inyección de código JavaScript malicioso en las entradas del visor de registros.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5301 is a stored Cross-Site Scripting (XSS) vulnerability in coolercontrol-ui versions 2.0.0–4.0.0 that allows attackers to inject malicious JavaScript via poisoned log entries.
You are affected if you are running coolercontrol-ui versions 2.0.0 through 4.0.0 and have not yet upgraded to version 4.0.0.
Upgrade to version 4.0.0 of coolercontrol-ui. As a temporary mitigation, implement input sanitization and output encoding on all user-supplied data displayed in the log viewer.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that it will be exploited, and a POC is expected to be released.
Refer to the coolercontrol-ui project's repository or website for the official advisory and release notes regarding CVE-2026-5301.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.