تأثیر چندین نقص با شدت بالا بر نرم افزار سرور وب OpenLiteSpeed که به طور گسترده استفاده می‌شود

چندین نقص با شدت بالا در وب سرور OpenLiteSpeed ​​منبع باز و همچنین نوع سازمانی آن کشف شده است که می تواند برای اجرای کد از راه دور مورد استفاده قرار گیرد.

۴۲ در گزارشی روز پنجشنبه گفت: «با زنجیره زدن و بهره‌برداری از آسیب‌پذیری‌ها، دشمنان می‌توانند سرور وب را به خطر بیاندازند و به اجرای کد از راه دور کاملاً ممتاز دست یابند.

OpenLiteSpeed نسخه منبع باز LiteSpeed ​​Web Server، ششمین وب سرور محبوب است که دارای ۱٫۹ میلیون سرور منحصر به فرد در سراسر جهان است.

 

اولین مورد از سه نقص یک نقص پیمایش دایرکتوری  (CVE-2022-0072، امتیاز CVSS: 5.8) است، که می تواند برای دسترسی به فایل‌های ممنوعه در فهرست اصلی وب مورد سوء استفاده قرار گیرد.

دو آسیب‌پذیری باقی‌مانده (CVE-2022-0073 و CVE-2022-0074، امتیازات CVSS: 8.8) به ترتیب به یک مورد افزایش امتیاز و تزریق فرمان مربوط می‌شوند که می‌توانند برای دستیابی به اجرای کد ممتاز زنجیره شوند.

محققین واحد ۴۲، آرتور آوتیسیان، آویو ساسون، آریل زلیوانسکی و ناتانیل کوئیست در مورد CVE-2022-0073 گفتند:یک عامل تهدید که توانسته اعتبار داشبورد را به دست آورد، چه از طریق حملات brute-force یا مهندسی اجتماعی، می تواند از این آسیب پذیری برای اجرای کد روی سرور سوء استفاده کند.

چندین نسخه OpenLiteSpeed ​​(از ۱٫۵٫۱۱ تا ۱٫۷٫۱۶) و LiteSpeed ​​(از ۵٫۴٫۶ تا ۶٫۰٫۱۱) تحت تأثیر این مشکلات هستند که در نسخه‌های ۱٫۷٫۱۶٫۱ و ۶٫۰٫۱۲ پس از افشای مسئولانه در ۴ اکتبر ۲۰۲۲ به آن پرداخته شده است.

پست‌های مشابه

Leave a Comment