多个严重缺陷影响广泛使用的OpenLiteSpeed Web服务器软件

开源OpenLiteSpeed Web服务器及其企业变体中发现了多个严重缺陷，这些缺陷可以通过武器化实现远程代码执行。

Palo Alto Networks第42部门在周四的一份报告中表示：“通过链接和利用漏洞，对手可能会危及网络服务器，并获得完全特权的远程代码执行”。

OpenLiteSpeed是LiteSpeedWeb服务器的开源版本，是第六大最受欢迎的Web服务器，在全球拥有190万个独特的服务器。

三个缺陷中的第一个是目录遍历缺陷（CVE-2022-0072，CVSS评分：5.8），可利用该漏洞访问web根目录中的禁止文件。

剩下的两个漏洞（CVE-2022-0073和CVE-20202-0074，CVSS评分：8.8）分别与权限升级和命令注入有关，可以通过链接实现特权代码执行。

42单元研究人员阿图尔·阿维蒂斯扬、阿维夫·萨森、阿里尔·泽利凡斯基和纳撒尼尔·奎斯特在谈到CVE-2022-0073时表示：“无论是通过暴力攻击还是社会工程，成功获得仪表板凭据的威胁行为者都可以利用该漏洞在服务器上执行代码”。

OpenLiteSpeed（从1.5.11到1.7.16）和LiteSpee（从5.4.6到6.0.11）的多个版本都受到这些问题的影响，这些问题在2022年10月4日进行了负责任的披露后，在1.7.16.1和6.0.12版本中得到了解决。