OpenLiteSpeed Web Server多個安全漏洞

1. 通告信息

近日，安識科技A-Team團隊監測到OpenLiteSpeed Web Server和企業版LiteSpeed Web Server中多個漏洞的細節，這些漏洞可能導致信息泄露、權限提升和遠程代碼執行。

對此，安識科技建議廣大用戶及時升級到安全版本，并做好資產自查以及預防工作，以免遭受黑客攻擊。

2. 漏洞概述

漏洞名稱：OpenLiteSpeed目錄遍歷漏洞

CVE編號：CVE-2022-0072

簡述：OpenLiteSpeed Web Server和LiteSpeed Web Server儀表板中存在目錄遍歷漏洞，可能導致繞過安全措施并訪問被禁止的文件。

漏洞名稱：OpenLiteSpeed遠程代碼執行漏洞

CVE編號：CVE-2022-0073

簡述：OpenLiteSpeed Web Server和LiteSpeed Web Server管理儀表板容易受到命令注入漏洞的影響，獲得儀表板憑據的惡意用戶可以利用該漏洞在服務器上執行代碼。

漏洞名稱：OpenLiteSpeed權限提升漏洞

CVE編號：CVE-2022-0074

簡述：OpenLiteSpeed Web Server和LiteSpeed Web Server容器中存在不受信任的搜索路徑漏洞，可能導致權限提升為root。

3. 漏洞危害

OpenLiteSpeed是LiteSpeed Technologies 開發的高性能、輕量級的開源 HTTP 服務器，它是LiteSpeed Web Server Enterprise的開源版本。

OpenLiteSpeed Web Server及其企業版中存在3個漏洞，可以通過組合利用這些漏洞遠程執行代碼并將權限提升為root。

4. 影響版本

目前受影響的OpenLiteSpeed Web Server和LiteSpeed Web Server版本：

1.5.11 <= OpenLiteSpeed Web Server <= 1.7.16

5. 時間軸

【-】2022年11月14日 安識科技A-Team團隊監測到漏洞公布信息

【-】2022年11月15日 安識科技A-Team團隊根據漏洞信息分析

【-】2022年11月16日 安識科技A-Team團隊發布安全通告