Welche LiteSpeed-Cache-Versionen sind betroffen?

Zwei relevante Bugs in 2024. CVE-2024-44000 (offengelegt im September 2024) betraf Installationen, deren Debug-Log Session-Cookies enthielt und Account-Übernahme-Informationen preisgab, sobald das Log aus dem Web erreichbar war. CVE-2024-50550 (offengelegt im Oktober 2024) war eine unauthentifizierte Privilege Escalation über das Rollen-Simulations-Feature, gepatcht in Version 6.5.2.

Wie schwerwiegend war die Ausnutzung?

Für beide Bugs erschien öffentlicher Proof-of-Concept-Code innerhalb von Tagen. LiteSpeed Cache hat etwa fünf Millionen Installationen, also war die absolute Zahl verwundbarer Seiten sehr groß, auch wenn nur ein Bruchteil aktiv ausgenutzt wurde. Seiten, die im Patch-Zeitfenster nicht automatisch aktualisiert haben, tragen ein höheres Risiko.

Ist mein Debug-Log ein Problem?

Wenn du das LiteSpeed-Cache-Debugging je aktiviert hattest und die daraus entstehende Log-Datei öffentlich lesbar war, kann sie Session-Cookie-Hashes enthalten haben, mit denen ein Angreifer sich als echter Nutzer authentifizieren konnte. Debug deaktivieren, Log-Datei löschen und Sessions rotieren. Das machen wir bei jeder Bereinigung mit LiteSpeed-Cache-Bezug.

Ich habe gepatcht und die Seite sieht in Ordnung aus. Brauche ich trotzdem eine Bereinigung?

Only you can answer that for sure. If the site was vulnerable during the exploit window and you have no logs proving it wasn't reached, a forensic review is the only way to be sure no persistence was planted. Patching closes the door — it doesn't tell you who already walked through it.

// CVE-2024-50550 · CVE-2024-44000 · 5 MIO INSTALLATIONEN

LiteSpeed Cache compromise cleanup.

Zwei kritische LiteSpeed-Cache-Bugs in 2024 — unauth Privilege Escalation und Session-Hash-Leak. Fünf Millionen Installationen. Wenn deine im Offenlegungs-Zeitfenster auf einer verwundbaren Version war, brauchst du einen forensischen Blick. Pauschal $279.

Bereinigung starten → Über die Bugs

§ 01 — ZWEI BUGS, BEIDE SCHLIMM

Was verwundbar war, was Angreifer damit machten.

CVE-2024-44000 — Das Debug-Log von LiteSpeed Cache erfasste den wordpress_logged_in-Cookie. Wenn Debug aktiviert und die Log-Datei aus dem Web erreichbar war, konnte ein Angreifer Session-Hashes abgreifen und sich als jeder eingeloggte Nutzer authentifizieren, inklusive Administratoren. Gepatcht in 6.5.0.1.

CVE-2024-50550 — Eine unauthentifizierte Privilege Escalation im Rollen-Simulations-Feature, das für Crawler-Simulation genutzt wird. Ein schwacher Hash erlaubte unauthentifizierten Besuchern, eine Session für jede beliebige Nutzer-ID zu fälschen. Gepatcht in 6.5.2.

§ 02 — INDIKATOREN

Was wir damit tun

[ DEBUG-LOG ]
wp-content/litespeed/debug.log oder jede *.log unter wp-content/litespeed/. Alles, was über das Web lesbar war. Wenn vorhanden und jemals exponiert, Sessions als geleakt behandeln.
[ ROLE SIM ]
wp_options-Einträge mit Rollen-Simulations-Hashes und POSTs an LiteSpeed-Cache-REST-Endpoints von unbekannten IPs ab Oktober 2024.
[ NUTZER ]
Neue Administratoren, die im Offenlegungs-Zeitfenster angelegt wurden. Sessions für Admin-Nutzer aus unbekannten Regionen.
[ DATEIEN ]
Kürzlich modifizierte Plugin-/Theme-PHP-Dateien, frisches PHP in Uploads, neue mu-plugins.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →