利用 LiteSpeed 漏洞可能导致的总网站服务器接管数量 媒体
LiteSpeed Web Server的安全漏洞概述
关键要点
LiteSpeed Web Server存在三项安全漏洞,可能允许攻击者执行任意代码并获取服务器的完全控制权。第一个漏洞CVE20220073与服务器启动时执行特定命令的功能有关,研究人士成功绕过了安全缓解措施。漏洞CVE20220074可以在利用第一个漏洞后被利用以实现权限提升。CVE20220072则允许攻击者绕过安全措施并访问文件。LiteSpeed已就这些漏洞发布了补丁以修复问题。研究显示,攻击者可能利用LiteSpeed Web Server中的三项 安全漏洞 来执行任意代码并提升权限,从而完全控制服务器, SecurityWeek 报告称。Palo Alto Networks的研究人员发现第一个漏洞CVE20220073与一个在服务器启动时可以执行特定命令的功能有关。
“这个功能被认为是危险的,因此我们实施了缓解措施以防止其被滥用。我们成功地绕过了这些缓解措施,并滥用了该功能,使恶意文件能够在服务器上以无权限用户的权限下载和执行,而这个用户传统上存在于Linux机器上。” 研究人员表示。
pioneervnp加速器此外,另一个高严重性漏洞CVE20220074在滥用第一个漏洞后,可能会被利用实现权限提升。同时,攻击者还可以利用路径遍历漏洞CVE20220072来绕过安全措施并获取文件访问权限。LiteSpeed已经发布补丁以修复这些漏洞,建议用户尽快更新系统以确保安全。
