พบ!! ช่องโหว่หลายรายการใน OpenLiteSpeed
16 พฤศจิกายน 2565
OpenLiteSpeed เป็นโอเพ่นซอร์สของ LiteSpeed Web Server ซึ่งเป็นเว็บเซิร์ฟเวอร์ที่ได้รับความนิยมสูงเป็นอันดับ 6 ของโลก
รายการช่องโหว่แรก (CVE-2022-0072 CVSS: 5.8) จากสามช่องโหว่ที่เกี่ยวข้องในการเข้าถึงการใช้งานไดเรกทอรี ซึ่งอาจถูกในไปใช้ในการโจมตี และการเข้าถึงไฟล์ทีไม่ได้รับอนุญาตในส่วนของการใช้งานเว็บไซต์ต่างๆ
ช่องโหว่ที่เหลืออีก 2 รายการได้แก่ (CVE-2022-0073 และ CVE-2022-0074 CVSS: 8.8)
ซึ่งเกี่ยวข้องกับการยกระดับสิทธิ์การเข้าใช้งาน การรันโค้ดคำสั่ง ให้เป็นตามขั้นตอนเพื่อให้การทำงานมีความสัมพันธ์ และเชื่อมโยงกันในการดำเนินการ
ผู้โจมตีสามารถจัดการทำงานต่างๆ เพื่อให้ได้ข้อมูลประจำตัวของผู้ใช้งานไปไว้ยังหน้าแดชบอร์ด ไม่ว่าจะใช้วิธีการแบบ brute-force attacks หรือ social engineering และใช้ประโยชน์จากช่องโหว่นี้ทำการรันโค้ดบนเซิร์ฟเวอร์
OpenLiteSpeed เวอร์ชันที่ได้รับผลกระทบตั้งแต่ (1.5.11 ถึง 1.7.16) ซึ่งได้รับการแก้ไขแล้วในเวอร์ชัน 1.7.16.1 และในส่วนของ LiteSpeed ที่ได้รับผลกระทบตั้งแต่เวอร์ชัน 5.46 ถึง 6.0.11 ซึ่งได้รับการแก้ไขแล้วในเวอร์ชัน 6.0.12 ในวันที่ 4 ตุลาคม 2565 ที่ผ่านมา
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา