多个高严重性漏洞影响广泛使用的 OpenLiteSpeed Web 服务器软件
在开源OpenLiteSpeed Web服务器及其企业变体中发现了多个高严重性漏洞,这些漏洞可以被武器化以实现远程代码执行。“通过链接和利用漏洞,对手可能会破坏Web服务器并获得完全特权的远程代码执行,”Palo Alto Networks Unit 42在周四的一份报告中表示。
在开源OpenLiteSpeed Web服务器及其企业变体中发现了多个高严重性漏洞,这些漏洞可以被武器化以实现远程代码执行。
“通过链接和利用漏洞,对手可能会破坏Web服务器并获得完全特权的远程代码执行,”Palo Alto Networks Unit 42在周四的一份报告中表示。
OpenLiteSpeed 是 LiteSpeed Web 服务器的开源版本,是第六大最受欢迎的 Web 服务器,在全球拥有 190 万台独立服务器。
三个缺陷中的第一个是目录遍历缺陷(CVE-2022-0072,CVSS 分数:5.8),可利用该漏洞访问 Web 根目录中的禁止文件。
其余两个漏洞(CVE-2022-0073 和 CVE-2022-0074,CVSS 分数:8.8)分别与权限提升和命令注入的情况有关,可以链接以实现特权代码执行。
“无论是通过暴力攻击还是社会工程,设法获得仪表板凭据的威胁行为者都可以利用该漏洞在服务器上执行代码,”Unit 42 研究人员 Artur Avetisyan、Aviv Sasson、Ariel Zelivansky 和 Nathaniel Quist 在谈到 CVE-2022-0073 时说。
OpenLiteSpeed(从 1.5.11 到 1.7.16)和 LiteSpeed(从 5.4.6 到 6.0.11)的多个版本受到这些问题的影响,这些问题已在 2022 年 10 月 4 日负责任披露后的1.7.16.1和6.0.12版本中得到解决。
“通过链接和利用漏洞,对手可能会破坏Web服务器并获得完全特权的远程代码执行,”Palo Alto Networks Unit 42在周四的一份报告中表示。
OpenLiteSpeed 是 LiteSpeed Web 服务器的开源版本,是第六大最受欢迎的 Web 服务器,在全球拥有 190 万台独立服务器。
三个缺陷中的第一个是目录遍历缺陷(CVE-2022-0072,CVSS 分数:5.8),可利用该漏洞访问 Web 根目录中的禁止文件。
其余两个漏洞(CVE-2022-0073 和 CVE-2022-0074,CVSS 分数:8.8)分别与权限提升和命令注入的情况有关,可以链接以实现特权代码执行。
“无论是通过暴力攻击还是社会工程,设法获得仪表板凭据的威胁行为者都可以利用该漏洞在服务器上执行代码,”Unit 42 研究人员 Artur Avetisyan、Aviv Sasson、Ariel Zelivansky 和 Nathaniel Quist 在谈到 CVE-2022-0073 时说。
OpenLiteSpeed(从 1.5.11 到 1.7.16)和 LiteSpeed(从 5.4.6 到 6.0.11)的多个版本受到这些问题的影响,这些问题已在 2022 年 10 月 4 日负责任披露后的1.7.16.1和6.0.12版本中得到解决。
关于作者
评论0次