0x00 漏洞概述
11月10日,研究人員公開披露了OpenLiteSpeed Web Server和企業版LiteSpeed Web Server中多個漏洞的細節,這些漏洞可能導致資訊洩露、許可權提升和遠端程式碼執行。
0x01 漏洞詳情
OpenLiteSpeed是LiteSpeed Technologies 開發的高性能、輕量級的開源 HTTP 伺服器,它是LiteSpeed Web Server Enterprise的開源版本。
OpenLiteSpeed Web Server及其企業版中存在如下3個漏洞,可以通過組合利用這些漏洞遠端執行程式碼並將許可權提升為root:
CVE-2022-0072:OpenLiteSpeed目錄遍歷漏洞
OpenLiteSpeed Web Server和LiteSpeed Web Server儀表板中存在目錄遍歷漏洞,可能導致繞過安全措施並訪問被禁止的檔案。
CVE-2022-0073:OpenLiteSpeed遠端程式碼執行漏洞
OpenLiteSpeed Web Server和LiteSpeed Web Server管理儀表板容易受到命令注入漏洞的影響,獲得儀表板憑據的惡意使用者可以利用該漏洞在伺服器上執行程式碼。
CVE-2022-0074:OpenLiteSpeed許可權提升漏洞
OpenLiteSpeed Web Server和LiteSpeed Web Server容器中存在不受信任的搜尋路徑漏洞,可能導致許可權提升為root。
影響範圍
受影響產品 | CVE-2022-0072 | CVE-2022-0073 | CVE-2022-0074 |
OpenLiteSpeed Web Server | 1.5.11 – 1.5.12 1.6.5 – 1.6.20.1 1.7.0 – 1.7.16.1之前 | 1.7.0 – 1.7.16.1之前 | 1.6.15 – 1.7.16.1之前 |
LiteSpeed Web Server |
0x02 安全建議
目前LiteSpeed Technologies已經修復了這些漏洞,受影響使用者可升級到OpenLiteSpeed v1.7.16.1、LiteSpeed 6.0.12 或更高版本。
OpenLiteSpeed下載連結:
https://github.com/litespeedtech/openlitespeed/tags
LiteSpeed下載連結:
https://store.litespeedtech.com/store/index.php?rp=/announcements/451
0x03 參考連結
https://unit42.paloaltonetworks.com/openlitespeed-vulnerabilities/
https://thehackernews.com/2022/11/multiple-high-severity-flaw-affect.html
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-11-14 | 首次發佈 |
