Plateforme
other
Composant
qingdaou-onlinejudge
Corrigé dans
1.6.1
1.6.2
Une vulnérabilité de falsification de requête côté serveur (SSRF) a été détectée dans QingdaoU OnlineJudge, affectant les versions 1.6.0 à 1.6.1. Cette faille permet à un attaquant de manipuler la fonction service_url, conduisant à une SSRF. L'exploitation peut être initiée à distance. No official patch available.
Une vulnérabilité de falsification de requêtes côté serveur (SSRF) a été identifiée dans QingdaoU OnlineJudge jusqu'à la version 1.6.1. La vulnérabilité réside dans la fonction serviceurl du fichier JudgeServer.serviceurl au sein du composant judgeserverheartbeat Endpoint. Un attaquant distant peut exploiter cette faille en manipulant l'URL du service, ce qui pourrait permettre un accès non autorisé à des ressources internes ou l'exécution d'actions en son nom. La gravité de la vulnérabilité est classée comme CVSS 6.3, indiquant un risque modéré. Le manque de réponse du fournisseur aux notifications de divulgation initiales aggrave la situation, laissant les utilisateurs sans correctif officiel.
La vulnérabilité SSRF est exploitée en manipulant l'URL utilisée par la fonction service_url. Un attaquant pourrait injecter une URL malveillante pointant vers une ressource interne à laquelle le serveur OnlineJudge a accès. Cela pourrait permettre à l'attaquant de lire des fichiers confidentiels, d'interagir avec des services internes ou même d'exécuter des commandes sur le serveur, en fonction de la configuration et des autorisations du système. La nature distante de l'exploitation signifie qu'un attaquant n'a pas besoin d'un accès physique au serveur pour profiter de cette vulnérabilité.
Organizations and individuals deploying QingdaoU OnlineJudge versions 1.6.0 through 1.6.1 are at risk. This includes educational institutions, coding competition platforms, and any environment utilizing this specific version of the software. The lack of vendor response increases the risk, as timely security updates are unlikely.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
Étant donné que le fournisseur n'a pas fourni de correctif, l'atténuation immédiate consiste à isoler les systèmes QingdaoU OnlineJudge affectés du réseau public. La mise en œuvre de pare-feu et de règles d'accès restrictives pour limiter l'accès aux ressources internes est cruciale. Surveiller activement les journaux du serveur à la recherche d'activités suspectes liées à des requêtes réseau inhabituelles peut aider à détecter les tentatives d'exploitation. Envisager de migrer vers une alternative plus sécurisée si possible. Il est fortement recommandé aux utilisateurs de contacter directement le fournisseur pour demander une mise à jour de sécurité et exprimer leur inquiétude quant au manque de réponse.
Se recomienda actualizar a una versión corregida de QingdaoU OnlineJudge que solucione la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el endpoint judge_server_heartbeat. Contactar al proveedor para obtener información sobre las versiones corregidas y los pasos de actualización. Como el proveedor no ha respondido, se recomienda investigar el código fuente para mitigar la vulnerabilidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SSRF (Server-Side Request Forgery) est une vulnérabilité qui permet à un attaquant de forcer un serveur à effectuer des requêtes vers des ressources qui ne sont normalement pas accessibles de l'extérieur.
Si vous utilisez QingdaoU OnlineJudge jusqu'à la version 1.6.1, vous pourriez être exposé à des attaques SSRF qui pourraient compromettre la sécurité de vos données et de vos systèmes internes.
Isolez le système affecté du réseau public, mettez en œuvre des pare-feu et surveillez les journaux du serveur.
À ce jour, le fournisseur n'a pas répondu aux notifications de divulgation, il n'y a donc pas de correctif officiel disponible.
Vous pouvez trouver plus d'informations sur la vulnérabilité CVE-2026-5538 dans des bases de données de vulnérabilités telles que le National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.