Plataforma
rust
Componente
coolercontrol/coolercontrold
Corrigido em
4.0.0
A vulnerabilidade CVE-2026-5302 é uma configuração incorreta de CORS (Cross-Origin Resource Sharing) no serviço coolercontrold, desenvolvido em Rust. Essa falha permite que atacantes remotos não autenticados leiam dados sensíveis e enviem comandos ao serviço através de sites maliciosos. A vulnerabilidade afeta as versões 2.0.0 até 4.0.0 do coolercontrold e foi corrigida na versão 4.0.0.
Um atacante pode explorar essa vulnerabilidade para obter acesso não autorizado a informações confidenciais gerenciadas pelo coolercontrold, como configurações de hardware e dados de monitoramento. Além disso, o atacante pode enviar comandos ao serviço, potencialmente alterando o comportamento do sistema ou causando interrupções. A exploração bem-sucedida pode levar à divulgação de dados sensíveis e à tomada de controle do dispositivo monitorado pelo coolercontrold. A falta de autenticação torna a exploração relativamente simples, exigindo apenas a criação de um site malicioso para enviar as requisições.
A vulnerabilidade foi divulgada em 2026-04-08. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. Não foram identificados Proof of Concepts (PoCs) públicos, mas a natureza da vulnerabilidade (CORS misconfiguration) sugere que a exploração pode ser relativamente simples de desenvolver.
Systems running coolercontrold versions 2.0.0 through 4.0.0 are at risk, particularly those exposed to the internet or accessible from untrusted networks. Shared hosting environments where coolercontrold is deployed alongside other applications are also at increased risk, as a compromised application could be used to exploit this vulnerability.
• rust / server:
curl -v -X GET 'http://<coolercontrold_ip>/api/data' -H 'Origin: http://attacker.com'If the response headers include Access-Control-Allow-Origin: * or Access-Control-Allow-Origin: http://attacker.com, the vulnerability is likely present.
• generic web:
curl -I http://<coolercontrold_ip>/api/data -H 'Origin: http://attacker.com'Inspect the response headers for Access-Control-Allow-Origin.
disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-5302 é atualizar o coolercontrold para a versão 4.0.0, que inclui a correção para a vulnerabilidade de CORS. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à rede e configurar um firewall para bloquear requisições de origens não confiáveis. É crucial revisar as configurações de CORS para garantir que apenas origens autorizadas possam acessar o serviço. Após a atualização, confirme a correção verificando se as requisições de origens não autorizadas são bloqueadas.
Atualize para a versão 4.0.0 ou superior para mitigar a vulnerabilidade de configuração CORS permissiva. Esta atualização corrige a configuração incorreta que permite a atacantes remotos lerem dados e enviarem comandos através de sites maliciosos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5302 is a medium-severity vulnerability in coolercontrold versions 2.0.0–4.0.0 that allows unauthenticated attackers to read data and send commands due to a CORS misconfiguration.
You are affected if you are running coolercontrold versions 2.0.0 through 4.0.0. Upgrade to 4.0.0 to mitigate the risk.
Upgrade coolercontrold to version 4.0.0 or later. As a temporary workaround, configure a WAF or restrict network access to the service.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation.
Refer to the coolercontrold project's official website or GitHub repository for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Cargo.lock e descubra na hora se você está afetado.