چندین نقص با شدت بالا در وبسرور OpenLiteSpeed نسخه Open Source و همچنین نوع سازمانی آن کشف شده است که میتوانند برای اجرای کد از راه دور مورد استفاده قرار گیرند.
Palo Alto Networks Unit 42 در گزارشی گفت: با زنجیره کردن و بهرهبرداری از آسیبپذیریها، مهاجمان میتوانند در وبسرور به اجرای کد از راه دور بطور کامل دست یابند.
OpenLiteSpeed نسخه اپنسورس LiteSpeed Web Server، ششمین وبسرور محبوب دنیاست که دارای 1.9 میلیون سرور منحصر به فرد در سراسر جهان است.
اولین مورد از این سه آسیبپذیری، یک نقص directory traversal است (CVE-2022-0072، امتیاز CVSS: 5.8)، که میتواند برای دسترسی به forbidden files در دایرکتوری root مورد سوءاستفاده قرار گیرد.
دو آسیبپذیری باقیمانده (CVE-2022-0073 و CVE-2022-0074، امتیازات CVSS: 8.8) به ترتیب به یک مورد privilege escalation و command injection مربوط میشوند که میتوانند برای دستیابی به اجرای کد زنجیره شوند.
چندین نسخه OpenLiteSpeed (از 1.5.11 تا 1.7.16) و LiteSpeed (از 5.4.6 تا 6.0.11) تحتتأثیر این نقصها قرار گرفتهاند که در نسخههای 1.7.16.1 و 6.0.12 برطرف شدهاند.
Palo Alto Networks Unit 42 در گزارشی گفت: با زنجیره کردن و بهرهبرداری از آسیبپذیریها، مهاجمان میتوانند در وبسرور به اجرای کد از راه دور بطور کامل دست یابند.
OpenLiteSpeed نسخه اپنسورس LiteSpeed Web Server، ششمین وبسرور محبوب دنیاست که دارای 1.9 میلیون سرور منحصر به فرد در سراسر جهان است.
اولین مورد از این سه آسیبپذیری، یک نقص directory traversal است (CVE-2022-0072، امتیاز CVSS: 5.8)، که میتواند برای دسترسی به forbidden files در دایرکتوری root مورد سوءاستفاده قرار گیرد.
دو آسیبپذیری باقیمانده (CVE-2022-0073 و CVE-2022-0074، امتیازات CVSS: 8.8) به ترتیب به یک مورد privilege escalation و command injection مربوط میشوند که میتوانند برای دستیابی به اجرای کد زنجیره شوند.
چندین نسخه OpenLiteSpeed (از 1.5.11 تا 1.7.16) و LiteSpeed (از 5.4.6 تا 6.0.11) تحتتأثیر این نقصها قرار گرفتهاند که در نسخههای 1.7.16.1 و 6.0.12 برطرف شدهاند.