La compañía LiteSpeed Technologies ha publicado una actualización de seguridad urgente tras descubrirse una vulnerabilidad crítica en su librería LSQUIC (responsable de gestionar QUIC y HTTP/3), así como en todos sus productos de servidor: LiteSpeed Web Server (LSWS), LiteSpeed Web ADC (LSADC) y OpenLiteSpeed (OLS).
El fallo, identificado como CVE-2025-54939, fue reportado por Yohann Sillam, miembro del equipo ofensivo de Imperva. Según detalla la compañía, el error podría ser fácilmente explotado y permitir ataques de Denegación de Servicio (DoS) mediante fugas de memoria.
¿En qué consiste la vulnerabilidad?
La vulnerabilidad está catalogada como Allocation of Resources Without Limits or Throttling. En términos simples, significa que un atacante puede enviar paquetes UDP especialmente diseñados al puerto de servicio HTTP/QUIC y provocar una fuga de memoria sin límite en el servidor afectado.
Este tipo de ataques pueden llevar a que el proceso consuma toda la memoria disponible hasta colapsar el servidor, dejando fuera de servicio páginas web, aplicaciones y servicios críticos.
Productos afectados
La vulnerabilidad impacta en todos los productos de LiteSpeed que usan la librería LSQUIC. En concreto:
- LiteSpeed Web Server (LSWS): versiones anteriores a la 6.3.4
- LiteSpeed Web ADC (LSADC): versiones anteriores a la 3.3.1
- OpenLiteSpeed (OLS): versiones anteriores a la 1.8.4
- LSQUIC Library: versiones anteriores a la 4.3.1
Esto incluye tanto las versiones comerciales como la versión de código abierto (OpenLiteSpeed), muy utilizada en entornos de WordPress, WooCommerce y proyectos de alto rendimiento.
Cronología del hallazgo
- 15 de julio de 2025 → Imperva notificó el fallo a LiteSpeed.
- 18 de julio de 2025 → El parche fue integrado en el repositorio interno de la compañía.
- 1 de agosto de 2025 → Publicación de LSWS 6.3.4 y OLS 1.8.4.
- 4 de agosto de 2025 → Publicación de LSADC 3.3.1.
- 13 de agosto de 2025 → Publicación oficial de LSQUIC 4.3.1 en GitHub.
- 18 de agosto de 2025 → Anuncio público del parche de seguridad.
Qué deben hacer los administradores
LiteSpeed recomienda encarecidamente actualizar lo antes posible:
- LSWS → v6.3.4 o superior
- LSADC → v3.3.1 o superior
- OLS → v1.8.4 o superior
- LSQUIC → v4.3.1 o superior
En el caso de que no sea posible actualizar inmediatamente, la compañía sugiere como medida temporal desactivar HTTP/3 para evitar la explotación de la vulnerabilidad.
Impacto en OpenLiteSpeed y servicios gestionados
OpenLiteSpeed, la versión gratuita de LiteSpeed utilizada en miles de servidores web, también está afectada. Algunos proveedores de hosting como RunCloud han anunciado que desplegarán actualizaciones automáticas hacia la versión OLS v1.8.4 en todos sus servidores para mitigar el riesgo sin intervención del usuario.
Un aviso para la comunidad
Este nuevo incidente vuelve a poner sobre la mesa la importancia de mantener los servidores actualizados. Protocolos modernos como QUIC y HTTP/3 ofrecen mejoras en velocidad y seguridad, pero también abren la puerta a vulnerabilidades complejas que pueden ser explotadas en ataques automatizados.
La compañía ha agradecido a Imperva Offensive Team su colaboración en la detección del fallo y asegura que los usuarios que ya han actualizado no tienen nada de qué preocuparse.
Preguntas frecuentes (FAQ)
1. ¿Qué es LSQUIC?
Es la librería de LiteSpeed que implementa los protocolos QUIC y HTTP/3, utilizados para acelerar la carga de páginas y mejorar la seguridad en la transmisión de datos.
2. ¿Qué riesgo real supone esta vulnerabilidad?
Permite a un atacante provocar una fuga de memoria ilimitada, lo que puede llevar al colapso del servidor mediante un ataque de Denegación de Servicio (DoS).
3. ¿Qué debo hacer si uso OpenLiteSpeed?
Actualizar a la versión 1.8.4 o superior lo antes posible. Si no puedes actualizar, desactiva HTTP/3 temporalmente.
4. ¿Está afectado mi sitio WordPress o WooCommerce?
Si usas servidores basados en LiteSpeed u OpenLiteSpeed sin actualizar, sí. Aunque la vulnerabilidad está en el servidor web, podría dejar tu sitio inaccesible hasta que se aplique el parche.
5. ¿Dónde puedo encontrar la actualización oficial?
En el blog de seguridad de LiteSpeed y en el repositorio oficial de GitHub para LSQUIC.
vía: blog.litespeedtech.com y Imperva
