Quelles versions de LiteSpeed Cache sont affectées ?

Deux bugs pertinents en 2024. CVE-2024-44000 (divulguée en septembre 2024) affectait les installations dont le journal de debug contenait des cookies de session, exposant des informations de prise de contrôle de compte si le journal était accessible depuis le web. CVE-2024-50550 (divulguée en octobre 2024) était une escalade de privilèges non authentifiée via la fonctionnalité de simulation de rôle, corrigée en version 6.5.2.

Quelle était la gravité de l'exploitation ?

Les deux bugs ont reçu du code proof-of-concept public en quelques jours. LiteSpeed Cache compte environ cinq millions d'installations, donc le nombre absolu de sites vulnérables était très important même si seule une fraction a été activement exploitée. Les sites qui ne se sont pas auto-mis à jour pendant la fenêtre de patch courent un risque plus élevé.

Mon journal de debug est-il un problème ?

Si vous avez déjà activé le debug de LiteSpeed Cache et que le fichier journal résultant était publiquement lisible, il a pu contenir des hashes de cookies de session qu'un attaquant pourrait utiliser pour s'authentifier en tant qu'utilisateur réel. Désactivez le debug, supprimez le fichier journal et renouvelez les sessions. Nous le faisons dans le cadre de chaque nettoyage impliquant LiteSpeed Cache.

J'ai patché et le site semble normal. Ai-je encore besoin d'un nettoyage ?

Only you can answer that for sure. If the site was vulnerable during the exploit window and you have no logs proving it wasn't reached, a forensic review is the only way to be sure no persistence was planted. Patching closes the door — it doesn't tell you who already walked through it.

// CVE-2024-50550 · CVE-2024-44000 · 5 M D'INSTALLATIONS

LiteSpeed Cache compromise cleanup.

Deux bugs critiques dans LiteSpeed Cache en 2024 — élévation de privilèges non authentifiée et fuite de hash de session. Cinq millions d'installations. Si la vôtre était sur une version vulnérable pendant la fenêtre de divulgation, il vous faut un examen forensique. Forfait $279.

Démarrer un nettoyage → À propos des bugs

§ 01 — DEUX BUGS, TOUS DEUX GRAVES

Ce qui était vulnérable, ce que les attaquants en ont fait.

CVE-2024-44000 — le journal de debug de LiteSpeed Cache capturait le cookie wordpress_logged_in. Si le debug était activé et le fichier de log accessible depuis le web, un attaquant pouvait récupérer les hashes de session et s'authentifier en tant que n'importe quel utilisateur connecté, y compris les administrateurs. Patché en 6.5.0.1.

CVE-2024-50550 — une élévation de privilèges non authentifiée dans la fonctionnalité de simulation de rôle utilisée pour la simulation de crawler. Un hash faible permettait à des visiteurs non authentifiés de forger une session pour n'importe quel ID utilisateur. Patchée en 6.5.2.

§ 02 — INDICATEURS

Ce que nous en faisons

[ JOURNAL DE DEBUG ]
wp-content/litespeed/debug.log ou tout *.log sous wp-content/litespeed/. Tout ce qui est lisible depuis le web. S'il a été présent et exposé un jour, considérez les sessions comme ayant fuité.
[ SIMULATION DE RÔLE ]
Entrées wp_options avec des hashes de simulation de rôle, et POST vers les endpoints REST de LiteSpeed Cache depuis des IP inconnues à partir d'octobre 2024.
[ UTILISATEURS ]
Nouveaux administrateurs créés pendant la fenêtre de divulgation. Sessions émises pour des utilisateurs admin depuis des zones géographiques inconnues.
[ FICHIERS ]
Fichiers PHP de plugin/thème récemment modifiés, nouveau PHP dans uploads, nouveaux mu-plugins.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →