प्लेटफ़ॉर्म
other
घटक
qingdaou-onlinejudge
में ठीक किया गया
1.6.1
1.6.2
CVE-2026-5538 एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो QingdaoU OnlineJudge सॉफ़्टवेयर में पाई गई है। इस भेद्यता का शोषण करके, एक हमलावर रिमोट सर्वर से अनुरोध करने के लिए एप्लिकेशन को धोखा दे सकता है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है या आंतरिक संसाधनों तक अनधिकृत पहुंच प्राप्त हो सकती है। यह भेद्यता QingdaoU OnlineJudge के संस्करण 1.6.0 से 1.6.1 तक के संस्करणों को प्रभावित करती है। वर्तमान में, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
QingdaoU OnlineJudge के संस्करण 1.6.1 और उससे पहले में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता की पहचान की गई है। यह भेद्यता JudgeServer.serviceurl फ़ाइल में serviceurl फ़ंक्शन के भीतर judgeserverheartbeat Endpoint घटक में मौजूद है। एक दूरस्थ हमलावर इस खामी का फायदा उठाकर सेवा URL में हेरफेर कर सकता है, जिससे आंतरिक संसाधनों तक अनधिकृत पहुंच या सर्वर की ओर से कार्रवाई करने की संभावना हो सकती है। इस भेद्यता की गंभीरता को CVSS 6.3 के रूप में रेट किया गया है, जो मध्यम जोखिम दर्शाता है। प्रारंभिक प्रकटीकरण सूचनाओं पर विक्रेता की प्रतिक्रिया की कमी ने स्थिति को बढ़ा दिया है, जिससे उपयोगकर्ताओं के पास कोई आधिकारिक समाधान नहीं है।
SSRF भेद्यता का फायदा service_url फ़ंक्शन द्वारा उपयोग किए जाने वाले URL में हेरफेर करके उठाया जाता है। एक हमलावर एक दुर्भावनापूर्ण URL इंजेक्ट कर सकता है जो एक आंतरिक संसाधन की ओर इशारा करता है जिसे OnlineJudge सर्वर एक्सेस कर सकता है। यह हमलावर को गोपनीय फ़ाइलों को पढ़ने, आंतरिक सेवाओं के साथ इंटरैक्ट करने या सिस्टम के कॉन्फ़िगरेशन और अनुमतियों के आधार पर सर्वर पर कमांड निष्पादित करने की अनुमति दे सकता है। शोषण की दूरस्थ प्रकृति का मतलब है कि हमलावर को इस भेद्यता का फायदा उठाने के लिए सर्वर तक भौतिक पहुंच की आवश्यकता नहीं है।
Organizations and individuals deploying QingdaoU OnlineJudge versions 1.6.0 through 1.6.1 are at risk. This includes educational institutions, coding competition platforms, and any environment utilizing this specific version of the software. The lack of vendor response increases the risk, as timely security updates are unlikely.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि विक्रेता ने कोई समाधान प्रदान नहीं किया है, इसलिए तत्काल शमन में प्रभावित QingdaoU OnlineJudge सिस्टम को सार्वजनिक नेटवर्क से अलग करना शामिल है। आंतरिक संसाधनों तक पहुंच को सीमित करने के लिए फ़ायरवॉल और प्रतिबंधात्मक एक्सेस नियमों को लागू करना महत्वपूर्ण है। असामान्य नेटवर्क अनुरोधों से संबंधित संदिग्ध गतिविधि के लिए सर्वर लॉग की सक्रिय रूप से निगरानी करने से शोषण प्रयासों का पता लगाने में मदद मिल सकती है। यदि संभव हो तो, अधिक सुरक्षित विकल्प पर माइग्रेट करने पर विचार करें। उपयोगकर्ताओं को दृढ़ता से सलाह दी जाती है कि वे सुरक्षा अपडेट का अनुरोध करने और प्रतिक्रिया की कमी के बारे में चिंता व्यक्त करने के लिए सीधे विक्रेता से संपर्क करें।
Se recomienda actualizar a una versión corregida de QingdaoU OnlineJudge que solucione la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el endpoint judge_server_heartbeat. Contactar al proveedor para obtener información sobre las versiones corregidas y los pasos de actualización. Como el proveedor no ha respondido, se recomienda investigar el código fuente para mitigar la vulnerabilidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SSRF (सर्वर-साइड रिक्वेस्ट फोर्जरी) एक भेद्यता है जो एक हमलावर को सर्वर को बाहरी रूप से आमतौर पर दुर्गम संसाधनों के लिए अनुरोध करने के लिए मजबूर करने की अनुमति देती है।
यदि आप QingdaoU OnlineJudge के संस्करण 1.6.1 और उससे पहले का उपयोग कर रहे हैं, तो आप SSRF हमलों के संपर्क में आ सकते हैं जो आपके डेटा और आंतरिक सिस्टम की सुरक्षा से समझौता कर सकते हैं।
प्रभावित सिस्टम को सार्वजनिक नेटवर्क से अलग करें, फ़ायरवॉल लागू करें और सर्वर लॉग की निगरानी करें।
अभी तक, विक्रेता ने प्रकटीकरण सूचनाओं का जवाब नहीं दिया है, इसलिए कोई आधिकारिक समाधान उपलब्ध नहीं है।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में भेद्यता CVE-2026-5538 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।