Allvarliga sårbarheter i OpenLiteSpeed Web Server

Sårbarhet

Unit 42 har publicerat information om tre sårbarheter i OpenLiteSpeed Web Server, en open source-version av LiteSpeed Web Server. De allvarliga sårbarheterna (CVE-2022-0073 respektive CVE-2022-0074, CVSS-klassning 8,8) innebär att en angripare som har skaffat sig tillgång till administratörsgränssnittet kan fjärrköra kod och därigenom eskalera privilegier upp till root.

Den tredje sårbarheten (CVE-2022-0072, CVSS-klassning 5,8) möjliggör för en angripare att traversera filsystemet och få tillgång till filer i webbserverns rotkatalog.

Påverkade produkter

OpenLiteSpeed versionerna 1.5.11 upp till 1.7.16LiteSpeed versionerna 5.4.6 upp till 6.0.11

Rekommendationer

CERT-SE rekommenderar att snarast möjligt installera säkerhetsuppdateringar (OpenLiteSpeed 1.7.16.1 respektive LiteSpeed 6.0.12 eller högre).

Källor

[1] https://unit42.paloaltonetworks.com/openlitespeed-vulnerabilities/