QingdaoU OnlineJudge judge_server_heartbeat Endpoint JudgeServer.service_url server-side request forgery

Eine Schwachstelle wurde in QingdaoU OnlineJudge bis zur Version 1.6.1 festgestellt. Betroffen ist davon die Funktion service_url der Datei JudgeServer.service_url des Components judge_server_heartbeat Endpoint. Die Manipulation führt zu Server-Side Request Forgery. Es ist möglich, den Angriff remote zu starten. Der Anbieter wurde frühzeitig über diese Offenlegung informiert, hat aber in keiner Weise reagiert.