Plattform
other
Komponente
qingdaou-onlinejudge
Behoben in
1.6.1
1.6.2
A server-side request forgery (SSRF) vulnerability has been identified in QingdaoU OnlineJudge versions 1.6.0 through 1.6.1. This flaw resides within the JudgeServer.service_url endpoint, allowing attackers to potentially manipulate server-side requests. Successful exploitation could lead to unauthorized access or data exposure. The vulnerability was publicly disclosed on 2026-04-05, and a fix is currently unavailable.
Eine Server-Side Request Forgery (SSRF)-Schwachstelle wurde in QingdaoU OnlineJudge bis zur Version 1.6.1 identifiziert. Die Schwachstelle befindet sich in der Funktion serviceurl der Datei JudgeServer.serviceurl innerhalb der Komponente judgeserverheartbeat Endpoint. Ein Remote-Angreifer kann diese Schwachstelle ausnutzen, indem er die Service-URL manipuliert, was potenziell unbefugten Zugriff auf interne Ressourcen oder die Ausführung von Aktionen im Namen des Servers ermöglicht. Die Schwachstelle wird mit CVSS 6.3 bewertet, was ein moderates Risiko anzeigt. Das Ausbleiben einer Reaktion des Anbieters auf anfängliche Disclosure-Benachrichtigungen verschärft die Situation und lässt Benutzer ohne eine offizielle Lösung dastehen.
Die SSRF-Schwachstelle wird ausgenutzt, indem die URL manipuliert wird, die von der Funktion service_url verwendet wird. Ein Angreifer könnte eine bösartige URL injizieren, die auf eine interne Ressource verweist, auf die der OnlineJudge-Server Zugriff hat. Dies könnte es dem Angreifer ermöglichen, vertrauliche Dateien zu lesen, mit internen Diensten zu interagieren oder sogar Befehle auf dem Server auszuführen, abhängig von der Konfiguration und den Berechtigungen des Systems. Die Remote-Natur der Ausnutzung bedeutet, dass ein Angreifer keinen physischen Zugriff auf den Server benötigt, um diese Schwachstelle auszunutzen.
Organizations and individuals deploying QingdaoU OnlineJudge versions 1.6.0 through 1.6.1 are at risk. This includes educational institutions, coding competition platforms, and any environment utilizing this specific version of the software. The lack of vendor response increases the risk, as timely security updates are unlikely.
disclosure
Exploit-Status
EPSS
0.04% (11% Perzentil)
CISA SSVC
CVSS-Vektor
Da der Anbieter keine Lösung bereitgestellt hat, besteht die unmittelbare Abschwächung darin, betroffene QingdaoU OnlineJudge-Systeme vom öffentlichen Netzwerk zu isolieren. Die Implementierung von Firewalls und restriktiven Zugriffregeln zur Beschränkung des Zugriffs auf interne Ressourcen ist entscheidend. Die aktive Überwachung der Serverprotokolle auf verdächtige Aktivitäten im Zusammenhang mit ungewöhnlichen Netzwerkanfragen kann dazu beitragen, Exploitationsversuche zu erkennen. Erwägen Sie, wenn möglich, die Migration zu einer sichereren Alternative. Benutzer werden dringend gebeten, den Anbieter direkt zu kontaktieren, um eine Sicherheitsaktualisierung anzufordern und Bedenken hinsichtlich des fehlenden Antworts auszudrücken.
Se recomienda actualizar a una versión corregida de QingdaoU OnlineJudge que solucione la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el endpoint judge_server_heartbeat. Contactar al proveedor para obtener información sobre las versiones corregidas y los pasos de actualización. Como el proveedor no ha respondido, se recomienda investigar el código fuente para mitigar la vulnerabilidad.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SSRF (Server-Side Request Forgery) ist eine Schwachstelle, die es einem Angreifer ermöglicht, einen Server zu zwingen, Anfragen an Ressourcen zu senden, die normalerweise von außen nicht zugänglich sind.
Wenn Sie QingdaoU OnlineJudge bis zur Version 1.6.1 verwenden, könnten Sie SSRF-Angriffen ausgesetzt sein, die die Sicherheit Ihrer Daten und Ihrer internen Systeme gefährden könnten.
Isolieren Sie das betroffene System vom öffentlichen Netzwerk, implementieren Sie Firewalls und überwachen Sie die Serverprotokolle.
Bisher hat der Anbieter nicht auf Disclosure-Benachrichtigungen reagiert, daher gibt es keine offizielle Lösung.
Sie finden weitere Informationen zur Schwachstelle CVE-2026-5538 in Schwachstellen-Datenbanken wie der National Vulnerability Database (NVD).
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.