聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
开源的OpenLiteSpeed Web Server 及其企业版本中存在多个高危漏洞,可被用于实现远程代码执行。
Palo Alto Networks Unit 42 发布报告称,“通过结合利用这些漏洞,攻击者可攻陷这些 web 服务器并获得完整的远程代码执行权限。” OpenLiteSpeed 是LiteSpeed Web Server 的开源版本,是第六大最热门的web服务器,全球用户达到190万名。
在这三个漏洞中,第一个是目录遍历漏洞(CVE-2022-0072,CVSS 5.8),可悲用于访问web root目录中的被禁文件。余下的两个漏洞是CVSS评分为8.8的CVE-2022-0073和CVE-2022-0074,分别和权限提升和命令注入有关,可组合用于实现提升权限的代码执行后果。
研究人员指出,攻击者如果能够设法获得对仪表盘的凭据,无论是暴力破解还是社工,都可利用CVE-2022-0073在服务器上执行代码。
OpenLiteSpeed(从1.5.11到1.7.16)和 LiteSpeed(从5.4.6到6.0.11)的多个版本均受这些漏洞影响,目前漏洞已在2022年10月4日发布的版本1.7.16.1和6.0.12中修复。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
微软GitHub Copilot 被诉违反开源许可条款和侵犯开发人员权益
速修复!热门开源库SQLite Database中的这个严重漏洞已存在22年,影响所有版本
原文链接
https://thehackernews.com/2022/11/multiple-high-severity-flaw-affect.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~