Plataforma
other
Componente
qingdaou-onlinejudge
Corrigido em
1.6.1
1.6.2
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi detectada no QingdaoU OnlineJudge nas versões de 1.6.0 a 1.6.1. Essa falha reside na função serviceurl do componente judgeserver_heartbeat Endpoint, permitindo que um atacante faça requisições para recursos internos. A exploração remota é possível, e o fornecedor não respondeu aos alertas de divulgação.
Uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) foi identificada no QingdaoU OnlineJudge até a versão 1.6.1. A vulnerabilidade reside na função serviceurl do arquivo JudgeServer.serviceurl dentro do componente judgeserverheartbeat Endpoint. Um atacante remoto pode explorar essa falha manipulando a URL do serviço, o que poderia permitir acesso não autorizado a recursos internos ou a execução de ações em nome do servidor. A gravidade da vulnerabilidade é classificada como CVSS 6.3, indicando um risco moderado. A falta de resposta do fornecedor às notificações de divulgação iniciais agrava a situação, deixando os usuários sem uma solução oficial disponível.
A vulnerabilidade SSRF é explorada manipulando a URL usada pela função service_url. Um atacante pode injetar uma URL maliciosa que aponta para um recurso interno ao qual o servidor OnlineJudge tem acesso. Isso pode permitir que o atacante leia arquivos confidenciais, interaja com serviços internos ou até mesmo execute comandos no servidor, dependendo da configuração e das permissões do sistema. A natureza remota da exploração significa que um atacante não precisa de acesso físico ao servidor para se aproveitar dessa vulnerabilidade.
Organizations and individuals deploying QingdaoU OnlineJudge versions 1.6.0 through 1.6.1 are at risk. This includes educational institutions, coding competition platforms, and any environment utilizing this specific version of the software. The lack of vendor response increases the risk, as timely security updates are unlikely.
disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
Dado que o fornecedor não forneceu uma solução, a mitigação imediata envolve isolar os sistemas QingdaoU OnlineJudge afetados da rede pública. Implementar firewalls e regras de acesso restritivas para limitar o acesso a recursos internos é crucial. Monitorar ativamente os logs do servidor em busca de atividade suspeita relacionada a solicitações de rede incomuns pode ajudar a detectar tentativas de exploração. Considere a possibilidade de migrar para uma alternativa mais segura, se possível. Recomenda-se fortemente que os usuários entrem em contato direto com o fornecedor para solicitar uma atualização de segurança e expressar sua preocupação com a falta de resposta.
Se recomienda actualizar a una versión corregida de QingdaoU OnlineJudge que solucione la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el endpoint judge_server_heartbeat. Contactar al proveedor para obtener información sobre las versiones corregidas y los pasos de actualización. Como el proveedor no ha respondido, se recomienda investigar el código fuente para mitigar la vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
SSRF (Server-Side Request Forgery) é uma vulnerabilidade que permite a um atacante forçar um servidor a fazer solicitações a recursos que normalmente não seriam acessíveis de fora.
Se você estiver usando QingdaoU OnlineJudge até a versão 1.6.1, poderá estar exposto a ataques SSRF que podem comprometer a segurança de seus dados e sistemas internos.
Isole o sistema afetado da rede pública, implemente firewalls e monitore os logs do servidor.
Até o momento, o fornecedor não respondeu às notificações de divulgação, portanto, não há uma solução oficial disponível.
Você pode encontrar mais informações sobre a vulnerabilidade CVE-2026-5538 em bancos de dados de vulnerabilidades, como o National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.