وب‌سرور Litespeed دچار آسیب‌پذیری شد
کد مطلب: 19897
تاریخ انتشار : يکشنبه ۲۹ آبان ۱۴۰۱ ساعت ۱۹:۳۰
 
کارشناسان امنیت سایبری در وب‌سرور Litespeed دو آسیب‌پذیری با شدت بالا کشف کرده‌اند.
وب‌سرور Litespeed دچار آسیب‌پذیری شد
 
 
Share/Save/Bookmark
مرکز ماهر: کارشناسان امنیت سایبری در وب‌سرور Litespeed دو آسیب‌پذیری با شدت بالا کشف کرده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در وب‌سرور Litespeed Technologies Openlitespeed آسیب‌پذیری تزریق فرمان با شناسه CVE-2022-0073 و آسیب پذیری مسیر جستجوی نامعتبر (Untrusted Search Path) با شناسه CVE-2022-0074 با شدت ۸.۸ از ۱۰ و درجه خطر High (بالا) شناسایی شده است.

CVE-2022-0073: اعتبار سنجی نادرست ورودی در این وب سرور امکان تزریق فرمان (Command Injection) را میدهد. یک عامل تهدید که بتواند اعتبار داشبورد را به دست آورد، چه با حملات brute force یا مهندسی اجتماعی، می تواند از این آسیب پذیری برای اجرای کد روی سرور سوء استفاده کند.

این آسیب‌پذیری در قسمت External App Command وجود دارد که به کاربران اجازه می‌دهد فرمانی را مشخص کنند تا هنگام راه‌اندازی سرور اجرا شود. این آسیب پذیری برروی نسخه‌های ۱.۷.۰ قبل از ۱.۷.۱۶.۱ تاثیر می‌گذارد و برای جلوگیری از حملات احتمالی پیشنهاد میگردد تا نسخه‌های بالاتر بروزرسانی انجام شود.

CVE-2022-0074: این آسیب پذیری تحت تأثیر آسیب پذیری دیگری از یک تابع ناشناخته از مولفه Web Server Container است. برنامه با استفاده از یک مسیر جستجوی ارائه شده خارجی که می‌تواند به منابعی اشاره کند که تحت کنترل مستقیم برنامه نیستند، منابع حیاتی را جستجو می کند.

به عنوان یک تأثیر شناخته شده است که بر محرمانگی، یکپارچگی و در دسترس بودن تأثیر می‌گذارد. این آسیب پذیری برروی نسخه‌های ۱.۶.۱۵ قبل از ۱.۷.۱۶.۱ تاثیر می‌گذارد و برای جلوگیری از حملات احتمالی پیشنهاد می‌گردد تا نسخه‌های بالاتر بروزرسانی انجام شود.
مرجع : مرکز ماهر