平台
linux
组件
coolercontrold
修复版本
4.0.0
CVE-2026-5300 描述了 CoolerControl/coolercontrold 组件中的一个未授权访问漏洞。该漏洞允许未经身份验证的攻击者通过 HTTP 请求访问和修改潜在的敏感数据,可能导致信息泄露或篡改。该漏洞影响 CoolerControl/coolercontrold 的 0.14.0 到 4.0.0 版本。已发布补丁版本 4.0.0。
攻击者可以利用此漏洞未经授权地访问 CoolerControl/coolercontrold 系统中的敏感数据。这可能包括配置信息、监控数据或其他与冷却控制相关的敏感信息。攻击者不仅可以查看这些数据,还可以对其进行修改,从而可能导致冷却系统的行为异常,甚至可能造成物理损坏。由于该漏洞无需身份验证,攻击者可以通过简单的 HTTP 请求进行利用,攻击面广,潜在影响巨大。该漏洞的潜在影响类似于其他未授权访问漏洞,可能导致数据泄露、系统配置更改和潜在的物理设备损坏。
目前尚无公开的利用代码 (PoC),但该漏洞的严重性较高,因为无需身份验证即可利用。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Systems utilizing CoolerControl/coolercontrold in environments with direct network exposure are at risk. This includes deployments where the daemon is accessible from the internet or untrusted networks. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable.
• linux / server:
journalctl -u coolercontrold | grep -i "HTTP request"• linux / server:
ss -tulnp | grep coolercontrold• generic web:
curl -I http://<coolercontrold_ip>/ | grep -i "server: coolercontrold"disclosure
漏洞利用状态
EPSS
0.01% (1% 百分位)
CISA SSVC
缓解此漏洞的首要措施是立即升级到 CoolerControl/coolercontrold 4.0.0 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:在防火墙或代理服务器上配置规则,限制对 CoolerControl/coolercontrold 组件的 HTTP 访问。实施严格的访问控制策略,确保只有授权用户才能访问相关系统。监控系统日志,检测任何异常的 HTTP 请求或未经授权的访问尝试。在升级后,请验证 CoolerControl/coolercontrold 组件是否正常运行,并确认漏洞已成功修复。
升级到 4.0.0 或更高版本以缓解漏洞。此版本实现了保护敏感数据并防止通过 HTTP 请求进行未经授权访问所需的身份验证。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-5300 描述了 CoolerControl/coolercontrold 组件中存在的未授权访问漏洞,攻击者可以通过 HTTP 请求访问和修改敏感数据。
如果您正在使用 CoolerControl/coolercontrold 的 0.14.0 到 4.0.0 版本,则可能受到此漏洞的影响。
升级到 CoolerControl/coolercontrold 4.0.0 或更高版本以修复此漏洞。
目前尚无公开的利用代码,但由于漏洞无需身份验证,因此存在被利用的风险。
请访问 CoolerControl/coolercontrold 的官方网站或 GitHub 仓库,查找有关 CVE-2026-5300 的安全公告。
CVSS 向量