平台
other
组件
qingdaou-onlinejudge
修复版本
1.6.1
1.6.2
CVE-2026-5538 是 QingdaoU OnlineJudge 在 1.6.0 到 1.6.1 版本中发现的服务器端请求伪造 (SSRF) 漏洞。攻击者可以通过远程利用 judgeserverheartbeat Endpoint 的 service_url 函数发起攻击,可能导致敏感信息泄露或系统被篡改。供应商未响应安全报告,且尚未发布官方修复补丁。
在 QingdaoU OnlineJudge 的 1.6.1 版本及之前版本中,发现了一个服务器端请求伪造 (SSRF) 漏洞。该漏洞存在于 JudgeServer.serviceurl 文件的 serviceurl 函数中,属于 judgeserverheartbeat Endpoint 组件。攻击者可以通过操纵服务 URL 来利用此漏洞,从而可能导致未经授权的访问内部资源或代表服务器执行操作。该漏洞的严重程度评分为 CVSS 6.3,表明存在中等风险。供应商对初始公开通知的未回应加剧了情况,导致用户没有官方修复程序。
SSRF 漏洞是通过操纵 service_url 函数使用的 URL 来利用的。攻击者可以注入一个指向 OnlineJudge 服务器可以访问的内部资源的恶意 URL。这可能允许攻击者读取机密文件、与内部服务交互,甚至根据系统的配置和权限在服务器上执行命令。利用的远程性质意味着攻击者不需要物理访问服务器即可利用此漏洞。
Organizations and individuals deploying QingdaoU OnlineJudge versions 1.6.0 through 1.6.1 are at risk. This includes educational institutions, coding competition platforms, and any environment utilizing this specific version of the software. The lack of vendor response increases the risk, as timely security updates are unlikely.
disclosure
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
由于供应商没有提供修复程序,因此立即的缓解措施包括将受影响的 QingdaoU OnlineJudge 系统与公共网络隔离。实施防火墙和限制性访问规则以限制对内部资源的访问至关重要。积极监控服务器日志,查找与异常网络请求相关的可疑活动,可以帮助检测利用尝试。如果可行,请考虑迁移到更安全的替代方案。强烈建议用户直接联系供应商,要求安全更新并表达对缺乏回应的担忧。
Se recomienda actualizar a una versión corregida de QingdaoU OnlineJudge que solucione la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el endpoint judge_server_heartbeat. Contactar al proveedor para obtener información sobre las versiones corregidas y los pasos de actualización. Como el proveedor no ha respondido, se recomienda investigar el código fuente para mitigar la vulnerabilidad.
漏洞分析和关键警报直接发送到您的邮箱。
SSRF(服务器端请求伪造)是一种漏洞,允许攻击者强制服务器向通常无法从外部访问的资源发送请求。
如果您正在使用 QingdaoU OnlineJudge 的 1.6.1 版本及之前版本,则可能容易受到 SSRF 攻击,这些攻击可能会危及您数据和内部系统的安全。
将受影响的系统与公共网络隔离,实施防火墙并监控服务器日志。
截至目前,供应商尚未对公开通知做出回应,因此没有官方解决方案可用。
您可以在诸如国家漏洞数据库 (NVD) 之类的漏洞数据库中找到有关漏洞 CVE-2026-5538 的更多信息。
CVSS 向量