Platform
other
Component
qingdaou-onlinejudge
Opgelost in
1.6.1
1.6.2
In QingdaoU OnlineJudge versies 1.6.0 tot 1.6.1 is een Server-Side Request Forgery (SSRF) kwetsbaarheid gevonden. Deze kwetsbaarheid bevindt zich in de functie service_url en kan misbruikt worden om interne resources te benaderen. De aanval kan op afstand worden uitgevoerd. Op dit moment is er geen officiële patch beschikbaar.
Een Server-Side Request Forgery (SSRF)-kwetsbaarheid is geïdentificeerd in QingdaoU OnlineJudge tot versie 1.6.1. De kwetsbaarheid bevindt zich in de functie serviceurl van het bestand JudgeServer.serviceurl binnen de component judgeserverheartbeat Endpoint. Een externe aanvaller kan deze fout uitbuiten door de service-URL te manipuleren, wat mogelijk ongeautoriseerde toegang tot interne bronnen of de uitvoering van acties namens de server kan toestaan. De kwetsbaarheid wordt beoordeeld als CVSS 6.3, wat een matig risico aangeeft. Het gebrek aan reactie van de leverancier op initiële disclosure-meldingen verergert de situatie, waardoor gebruikers zonder een officiële oplossing achterblijven.
De SSRF-kwetsbaarheid wordt uitgebuit door de URL te manipuleren die wordt gebruikt door de functie service_url. Een aanvaller kan een kwaadaardige URL injecteren die verwijst naar een interne bron waar de OnlineJudge-server toegang toe heeft. Dit kan de aanvaller in staat stellen vertrouwelijke bestanden te lezen, te interageren met interne services of zelfs commando's op de server uit te voeren, afhankelijk van de configuratie en de machtigingen van het systeem. De externe aard van de exploitatie betekent dat een aanvaller geen fysieke toegang tot de server nodig heeft om deze kwetsbaarheid te benutten.
Organizations and individuals deploying QingdaoU OnlineJudge versions 1.6.0 through 1.6.1 are at risk. This includes educational institutions, coding competition platforms, and any environment utilizing this specific version of the software. The lack of vendor response increases the risk, as timely security updates are unlikely.
disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
Aangezien de leverancier geen oplossing heeft geleverd, omvat de onmiddellijke mitigatie het isoleren van getroffen QingdaoU OnlineJudge-systemen van het openbare netwerk. Het implementeren van firewalls en restrictieve toegangsregels om de toegang tot interne bronnen te beperken, is cruciaal. Actief monitoren van serverlogs op verdachte activiteiten gerelateerd aan ongebruikelijke netwerkverzoeken kan helpen bij het detecteren van exploitatiepogingen. Overweeg te migreren naar een veiliger alternatief indien mogelijk. Gebruikers wordt ten zeerste geadviseerd om rechtstreeks contact op te nemen met de leverancier om een beveiligingsupdate aan te vragen en bezorgdheid te uiten over het gebrek aan reactie.
Se recomienda actualizar a una versión corregida de QingdaoU OnlineJudge que solucione la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el endpoint judge_server_heartbeat. Contactar al proveedor para obtener información sobre las versiones corregidas y los pasos de actualización. Como el proveedor no ha respondido, se recomienda investigar el código fuente para mitigar la vulnerabilidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SSRF (Server-Side Request Forgery) is een kwetsbaarheid die een aanvaller in staat stelt een server te dwingen verzoeken te doen naar bronnen die normaal gesproken niet toegankelijk zijn van buitenaf.
Als u QingdaoU OnlineJudge tot versie 1.6.1 gebruikt, kunt u kwetsbaar zijn voor SSRF-aanvallen die de beveiliging van uw gegevens en interne systemen kunnen compromitteren.
Isoleer het getroffen systeem van het openbare netwerk, implementeer firewalls en monitor serverlogs.
Tot op heden heeft de leverancier niet gereageerd op disclosure-meldingen, dus er is geen officiële oplossing beschikbaar.
U kunt meer informatie over kwetsbaarheid CVE-2026-5538 vinden in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.