threatover Patrik Grobshäuser

CVE-2024-50550 · CVE-2024-44000 · 5M installs

LiteSpeed Cache compromise cleanup.

Zwei kritische LiteSpeed-Cache-Bugs in 2024 — unauth Privilege Escalation und Session-Hash-Leak. Fünf Millionen Installationen. Wenn deine im Offenlegungs-Zeitfenster auf einer verwundbaren Version war, brauchst du einen forensischen Blick. Pauschal $279.

Two bugs, both bad

Was verwundbar war, was Angreifer damit machten.

CVE-2024-44000 — Das Debug-Log von LiteSpeed Cache erfasste den wordpress_logged_in-Cookie. Wenn Debug aktiviert und die Log-Datei aus dem Web erreichbar war, konnte ein Angreifer Session-Hashes abgreifen und sich als jeder eingeloggte Nutzer authentifizieren, inklusive Administratoren. Gepatcht in 6.5.0.1.

CVE-2024-50550 — Eine unauthentifizierte Privilege Escalation im Rollen-Simulations-Feature, das für Crawler-Simulation genutzt wird. Ein schwacher Hash erlaubte unauthentifizierten Besuchern, eine Session für jede beliebige Nutzer-ID zu fälschen. Gepatcht in 6.5.2.

Indicators

Was wir damit tun

  • Debug log

    wp-content/litespeed/debug.log oder jede *.log unter wp-content/litespeed/. Alles, was über das Web lesbar war. Wenn vorhanden und jemals exponiert, Sessions als geleakt behandeln.

  • Role sim

    wp_options-Einträge mit Rollen-Simulations-Hashes und POSTs an LiteSpeed-Cache-REST-Endpoints von unbekannten IPs ab Oktober 2024.

  • Nutzer

    Neue Administratoren, die im Offenlegungs-Zeitfenster angelegt wurden. Sessions für Admin-Nutzer aus unbekannten Regionen.

  • Files

    Kürzlich modifizierte Plugin-/Theme-PHP-Dateien, frisches PHP in Uploads, neue mu-plugins.

Preise

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten

Monitoring

$29 / mo

per site, cancel any time

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

E-Mail [email protected] or use the contact form.