ГлавнаяБаза уязвимостей БДУ → BDU:2023-00698
9высокая

BDU:2023-00698 (CVE-2022-0072)

Уязвимость программного обеспечения серверов веб-приложений LiteSpeed и OpenLiteSpeed, связанная с использованием ненадёжного пути поиска, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2023-02-15
Описание

Уязвимость программного обеспечения серверов веб-приложений LiteSpeed и OpenLiteSpeed связана с использованием ненадёжного пути поиска. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Затрагиваемое ПО и версии
OpenLiteSpeed (от 1.7.0 до 1.7.16.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- использование антивирусного программного обеспече-ния;
- минимизация привилегий пользователей для ограниче-ния доступа к конфигурационным файлам, содержащим пути доступа к используемым каталогам;
- использование сторонних средств контроля доступа пользователей (VPN и др.) к программному продукту из общедоступных сетей (Интернет).

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://blog.litespeedtech.com/2022/11/14/cve-2022-0072-cve-2022-0073-and-cve-2022-0074/https://github.com/litespeedtech/ols-dockerfiles/blob/master/template/Dockerfile#L29https://www.sentinelone.com/blog/dragon-raas-pro-russian-hacktivist-group-aims-to-build-on-the-five-families-cybercrime-reputation/
Проверьте безопасность своего сайта и почты → Полная проверка домена