CVE-2024-50550 · CVE-2024-44000 · 5M installs
LiteSpeed Cache compromise cleanup.
Dos bugs críticos en LiteSpeed Cache en 2024 — escalada de privilegios no autenticada y fuga de hash de sesión. Cinco millones de instalaciones. Si la tuya estuvo en una versión vulnerable durante la ventana de divulgación, necesitas una revisión forense. Tarifa plana $279.
Two bugs, both bad
Qué era vulnerable y qué hicieron los atacantes con ello.
CVE-2024-44000 — el debug log de LiteSpeed Cache capturaba la cookie wordpress_logged_in. Si el debug estaba activado y el archivo de log era accesible desde la web, un atacante podía extraer hashes de sesión y autenticarse como cualquier usuario con sesión iniciada, incluidos los administradores. Parcheado en 6.5.0.1.
CVE-2024-50550 — una escalada de privilegios no autenticada en la funcionalidad de simulación de roles usada para la simulación de crawlers. Un hash débil permitía a visitantes no autenticados forjar una sesión para cualquier user ID. Parcheado en 6.5.2.
Indicators
Qué hacemos con ello
Debug log
wp-content/litespeed/debug.log o cualquier *.log bajo wp-content/litespeed/. Cualquier cosa legible desde la web. Si está presente y alguna vez estuvo expuesto, trata las sesiones como filtradas.
Role sim
Entradas en wp_options con hashes de simulación de roles, y POSTs a endpoints REST de LiteSpeed Cache desde IPs desconocidas a partir de octubre de 2024.
Usuarios
Nuevos administradores creados durante la ventana de divulgación. Sesiones emitidas para usuarios admin desde geografías desconocidas.
Files
Archivos PHP de plugin/tema modificados recientemente, PHP recién creado en uploads, nuevos mu-plugins.
Precios
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Iniciar limpiezaMonitoring
$29 / mo
per site, cancel any time
Monitorización continua, endurecimiento, una limpieza al año incluida.
ProtégetePart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Ver todos los servicios →Correo [email protected] or use the contact form.