¿Qué versiones de LiteSpeed Cache están afectadas?

Dos bugs relevantes en 2024. CVE-2024-44000 (divulgado en septiembre de 2024) afectaba a instalaciones cuyo debug log contenía cookies de sesión, exponiendo información de account takeover si el log era accesible desde la web. CVE-2024-50550 (divulgado en octubre de 2024) era una escalada de privilegios no autenticada a través de la funcionalidad de simulación de roles, parcheada en la versión 6.5.2.

¿Qué tan grave fue la explotación?

Ambos bugs recibieron código público de prueba de concepto en cuestión de días. LiteSpeed Cache tiene aproximadamente cinco millones de instalaciones, así que el número absoluto de sitios vulnerables fue muy grande aunque solo una fracción se explotara activamente. Los sitios que no se auto-actualizaron durante la ventana del parche tienen mayor riesgo.

¿Es un problema mi debug log?

Si alguna vez activaste el debugging de LiteSpeed Cache y el archivo de log resultante era legible públicamente, puede que contuviera hashes de cookies de sesión que un atacante podía usar para autenticarse como un usuario real. Desactiva el debug, elimina el archivo de log y rota las sesiones. Lo hacemos como parte de cada limpieza que involucra LiteSpeed Cache.

Parcheé y el sitio se ve bien. ¿Aún necesito una limpieza?

Only you can answer that for sure. If the site was vulnerable during the exploit window and you have no logs proving it wasn't reached, a forensic review is the only way to be sure no persistence was planted. Patching closes the door — it doesn't tell you who already walked through it.

// CVE-2024-50550 · CVE-2024-44000 · 5M INSTALACIONES

LiteSpeed Cache compromise cleanup.

Dos bugs críticos en LiteSpeed Cache en 2024 — escalada de privilegios no autenticada y fuga de hash de sesión. Cinco millones de instalaciones. Si la tuya estuvo en una versión vulnerable durante la ventana de divulgación, necesitas una revisión forense. Tarifa plana $279.

Iniciar limpieza → Sobre los bugs

§ 01 — DOS BUGS, AMBOS GRAVES

Qué era vulnerable y qué hicieron los atacantes con ello.

CVE-2024-44000 — el debug log de LiteSpeed Cache capturaba la cookie wordpress_logged_in. Si el debug estaba activado y el archivo de log era accesible desde la web, un atacante podía extraer hashes de sesión y autenticarse como cualquier usuario con sesión iniciada, incluidos los administradores. Parcheado en 6.5.0.1.

CVE-2024-50550 — una escalada de privilegios no autenticada en la funcionalidad de simulación de roles usada para la simulación de crawlers. Un hash débil permitía a visitantes no autenticados forjar una sesión para cualquier user ID. Parcheado en 6.5.2.

§ 02 — INDICADORES

Qué hacemos con ello

[ DEBUG LOG ]
wp-content/litespeed/debug.log o cualquier *.log bajo wp-content/litespeed/. Cualquier cosa legible desde la web. Si está presente y alguna vez estuvo expuesto, trata las sesiones como filtradas.
[ ROLE SIM ]
Entradas en wp_options con hashes de simulación de roles, y POSTs a endpoints REST de LiteSpeed Cache desde IPs desconocidas a partir de octubre de 2024.
[ USUARIOS ]
Nuevos administradores creados durante la ventana de divulgación. Sesiones emitidas para usuarios admin desde geografías desconocidas.
[ ARCHIVOS ]
Archivos PHP de plugin/tema modificados recientemente, PHP recién creado en uploads, nuevos mu-plugins.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →