CVE-2026-5301CVE-2026-5301 是 CoolerControl 项目中 coolercontrol-ui 组件的一个高危安全漏洞。该漏洞存在于版本 4.0.0 之前的日志查看器功能中,属于存储型跨站脚本攻击。由于应用程序未能正确过滤或转义写入日志的数据,未经身份验证的攻击者可以通过向日志中注入恶意 JavaScript 代码来利用此漏洞。当具有管理权限的用户访问受感染的日志查看器页面时,恶意脚本将在其浏览器上下文中执行。这可能导致攻击者窃取会话令牌、执行未授权操作,甚至完全接管服务控制权,对系统机密性和完整性造成严重影响。建议用户尽快升级至安全版本以修复此问题。
该漏洞源于 CoolerControl 的前端 UI 组件在处理日志显示时缺乏严格的输出编码。攻击者无需登录即可触发漏洞,通过网络向量向应用程序的日志系统注入恶意载荷。虽然需要用户交互,但利用场景通常是诱导管理员查看日志。具体原理是,当系统记录某些包含特殊字符(如 <script> 标签)的日志条目时,后端直接将其存储。前端在渲染 AppInfoView.vue 页面时,直接将日志内容插入 DOM 而未进行 HTML 实体编码或净化。这导致当管理员打开日志查看器时,浏览器解析并执行了攻击者注入的 JavaScript 代码。由于该服务通常运行在本地或内网环境且具有较高的权限,成功的 XSS 攻击可能导致 CoolerControl 服务被完全接管,甚至利用相关后端接口进一步渗透主机系统。