Уязвимость была обнаружена в QingdaoU OnlineJudge до версии 1.6.1. Этой проблеме подвержена функция service_url файла JudgeServer.service_url компонента Judge_server_heartbeat Endpoint. Результатом манипуляции является подделка запроса на стороне сервера.
Атаку можно запустить удаленно. С поставщиком заранее связались по поводу этой информации, но он никак не отреагировал.
Показать оригинальное описание (EN)
A vulnerability was detected in QingdaoU OnlineJudge up to 1.6.1. Affected by this issue is the function service_url of the file JudgeServer.service_url of the component judge_server_heartbeat Endpoint. The manipulation results in server-side request forgery. It is possible to launch the attack remotely. The vendor was contacted early about this disclosure but did not respond in any way.
Характеристики атаки
Последствия
Строка CVSS v4.0