MEDIUMCVE-2026-5538CVSS 6.3

QingdaoU OnlineJudge judge_server_heartbeat エンドポイント JudgeServer.service_url サーバーサイドリクエストフォージェリ

プラットフォーム

other

コンポーネント

qingdaou-onlinejudge

修正版

1.6.1

1.6.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

QingdaoU OnlineJudge のバージョン 1.6.0 から 1.6.1 には、service_url 関数におけるサーバーサイドリクエストフォージェリ (SSRF) の脆弱性が存在します。この脆弱性を悪用されると、攻撃者は内部リソースにアクセスできる可能性があります。現時点では修正プログラムは提供されていません。

影響と攻撃シナリオ

QingdaoU OnlineJudgeのバージョン1.6.1以前に、サーバーサイドリクエスト偽造（SSRF）の脆弱性が検出されました。この脆弱性は、コンポーネントjudgeserverheartbeat EndpointのJudgeServer.serviceurlファイルのserviceurl関数に存在します。攻撃者は、サービスURLを操作することでこの脆弱性を悪用し、内部リソースへの不正アクセスや、サーバーに代わってアクションを実行する可能性があります。この脆弱性の深刻度はCVSS 6.3と評価されており、中程度のリスクを示しています。ベンダーが初期の公開通知に反応しなかったことは、状況を悪化させ、ユーザーに公式な修正を提供していません。

悪用の状況

SSRFの脆弱性は、service_url関数で使用されるURLを操作することで悪用されます。攻撃者は、OnlineJudgeサーバーがアクセスできる内部リソースを指す悪意のあるURLを挿入する可能性があります。これにより、攻撃者は機密ファイルを読み取ったり、内部サービスとやり取りしたり、システムの構成と権限に応じて、サーバー上でコマンドを実行したりする可能性があります。この脆弱性のリモート性質により、攻撃者はこの脆弱性を悪用するためにサーバーへの物理的なアクセスを必要としません。

リスク対象者翻訳中…

Organizations and individuals deploying QingdaoU OnlineJudge versions 1.6.0 through 1.6.1 are at risk. This includes educational institutions, coding competition platforms, and any environment utilizing this specific version of the software. The lack of vendor response increases the risk, as timely security updates are unlikely.

攻撃タイムライン

2026-04-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.04% (11% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントqingdaou-onlinejudge

ベンダーQingdaoU

影響範囲修正版

1.6.0 – 1.6.01.6.1

1.6.1 – 1.6.11.6.2

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-04-04
公開日2026-04-05
更新日2026-04-06
EPSS 更新日2026-04-12

未パッチ — 公開から49日経過

緩和策と回避策

ベンダーが修正を提供していないため、直近の軽減策は、影響を受けたQingdaoU OnlineJudgeシステムをパブリックネットワークから隔離することです。内部リソースへのアクセスを制限するためのファイアウォールと制限付きアクセスルールを実装することが重要です。サーバーログを積極的に監視し、異常なネットワークリクエストに関連する疑わしいアクティビティを検出することができます。可能であれば、より安全な代替手段への移行を検討してください。ベンダーに直接連絡してセキュリティアップデートをリクエストし、対応の欠如に対する懸念を表明することを強くお勧めします。

修正方法翻訳中…

Se recomienda actualizar a una versión corregida de QingdaoU OnlineJudge que solucione la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el endpoint judge_server_heartbeat.  Contactar al proveedor para obtener información sobre las versiones corregidas y los pasos de actualización.  Como el proveedor no ha respondido, se recomienda investigar el código fuente para mitigar la vulnerabilidad.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5538 とは何ですか？（QingdaoU OnlineJudge）

SSRF（Server-Side Request Forgery）は、攻撃者がサーバーに外部から通常アクセスできないリソースへのリクエストを強制できる脆弱性です。

QingdaoU OnlineJudge の CVE-2026-5538 による影響を受けていますか？

QingdaoU OnlineJudgeのバージョン1.6.1を使用している場合、データと内部システムのセキュリティを損なう可能性のあるSSRF攻撃を受ける可能性があります。

QingdaoU OnlineJudge の CVE-2026-5538 を修正するにはどうすればよいですか？

影響を受けたシステムをパブリックネットワークから隔離し、ファイアウォールを実装し、サーバーログを監視してください。

CVE-2026-5538 は積極的に悪用されていますか？

現時点では、ベンダーは公開通知に反応していないため、公式な解決策は利用できません。

CVE-2026-5538 に関する QingdaoU OnlineJudge の公式アドバイザリはどこで確認できますか？

National Vulnerability Database（NVD）などの脆弱性データベースで、脆弱性CVE-2026-5538に関する詳細情報を入手できます。