CVE-2026-5302CoolerControl/coolercontrold 4.0.0之前版本存在CORS配置错误漏洞。由于服务端未严格限制跨域请求来源,未经身份验证的远程攻击者可诱导受害者访问恶意网站,利用浏览器发起跨域请求读取服务数据或发送控制指令,导致信息泄露或设备被恶意控制。
该漏洞的根本原因在于CoolerControl服务端对CORS(跨域资源共享)头的处理逻辑存在缺陷。在正常情况下,浏览器会遵循同源策略,阻止网页访问不同域的资源。但在受影响版本中,服务端可能对Access-Control-Allow-Origin头进行了不安全的配置,例如直接反射请求头中的Origin值或使用了过于宽松的通配符策略,同时错误地启用了凭证支持(Access-Control-Allow-Credentials: true)。攻击者无需直接入侵服务,而是利用这一配置缺陷,构造一个包含恶意JavaScript代码的网页。当受害者访问该网页时,浏览器会携带受害者的凭证(如Cookie)向本地的CoolerControl API发起请求。由于CORS策略失效,浏览器允许恶意网页读取API返回的敏感信息(如硬件温度、风扇转速)或构造POST请求发送控制命令(如修改风扇设置),从而实现了跨域的数据窃取和远程控制。