چندین نقص با شدت بالا در وب سرور OpenLiteSpeed منبع باز و همچنین نوع سازمانی آن کشف شده است که می تواند برای اجرای کد از راه دور مورد استفاده قرار گیرد.
۴۲ در گزارشی روز پنجشنبه گفت: «با زنجیره زدن و بهرهبرداری از آسیبپذیریها، دشمنان میتوانند سرور وب را به خطر بیاندازند و به اجرای کد از راه دور کاملاً ممتاز دست یابند.
OpenLiteSpeed نسخه منبع باز LiteSpeed Web Server، ششمین وب سرور محبوب است که دارای ۱٫۹ میلیون سرور منحصر به فرد در سراسر جهان است.
اولین مورد از سه نقص یک نقص پیمایش دایرکتوری (CVE-2022-0072، امتیاز CVSS: 5.8) است، که می تواند برای دسترسی به فایلهای ممنوعه در فهرست اصلی وب مورد سوء استفاده قرار گیرد.
دو آسیبپذیری باقیمانده (CVE-2022-0073 و CVE-2022-0074، امتیازات CVSS: 8.8) به ترتیب به یک مورد افزایش امتیاز و تزریق فرمان مربوط میشوند که میتوانند برای دستیابی به اجرای کد ممتاز زنجیره شوند.
محققین واحد ۴۲، آرتور آوتیسیان، آویو ساسون، آریل زلیوانسکی و ناتانیل کوئیست در مورد CVE-2022-0073 گفتند:یک عامل تهدید که توانسته اعتبار داشبورد را به دست آورد، چه از طریق حملات brute-force یا مهندسی اجتماعی، می تواند از این آسیب پذیری برای اجرای کد روی سرور سوء استفاده کند.
چندین نسخه OpenLiteSpeed (از ۱٫۵٫۱۱ تا ۱٫۷٫۱۶) و LiteSpeed (از ۵٫۴٫۶ تا ۶٫۰٫۱۱) تحت تأثیر این مشکلات هستند که در نسخههای ۱٫۷٫۱۶٫۱ و ۶٫۰٫۱۲ پس از افشای مسئولانه در ۴ اکتبر ۲۰۲۲ به آن پرداخته شده است.