CRITICAL🇬🇧 English

CVE-2024-25678

Błędna walidacja DCID w bibliotece LiteSpeed QUIC (LSQUIC)

CVSS 9.8v3.1pub. 2024-02-09upd. 2025-06-20

Biblioteka LiteSpeed QUIC (LSQUIC) przed wersją 4.0.4 niepoprawnie obsługuje walidację identyfikatora połączenia docelowego (DCID), co stanowi krytyczną podatność możliwą do zdalnego wykorzystania bez uwierzytelnienia. Ocena CVSS 9.8 wskazuje na możliwe poważne konsekwencje dla poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

In LiteSpeed QUIC (LSQUIC) Library before 4.0.4, DCID validation is mishandled.

🤖 Analiza AI
Jak działa

Podatność wynika z błędnej obsługi walidacji pola DCID (Destination Connection ID) w protokole QUIC, co zostało sklasyfikowane jako CWE-354 — niewystarczająca walidacja integralności danych. Atakujący może wysłać spreparowane pakiety sieciowe z nieprawidłowym lub zmanipulowanym DCID, które biblioteka niepoprawnie przetwarza. Brak właściwej weryfikacji tego pola może prowadzić do nieoczekiwanego zachowania biblioteki. Podatność jest dostępna zdalnie, bez interakcji użytkownika i bez wymaganych uprawnień (wektor AV:N/AC:L/PR:N/UI:N).

Skutki

Atakujący zdalny, nieuwierzytelniony może potencjalnie uzyskać nieautoryzowany dostęp do danych, naruszyć integralność systemu lub doprowadzić do jego niedostępności — zgodnie z oceną CVSS wskazującą wysoki wpływ na poufność, integralność i dostępność (C:H/I:H/A:H).

Mitygacja

Należy zaktualizować bibliotekę LSQUIC do wersji 4.0.4 lub nowszej, dostępnej pod adresem: https://github.com/litespeedtech/lsquic/releases/tag/v4.0.4. Poprawka została wprowadzona w commicie 515f453556c99d27c4dddb5424898dc1a5537708.

Kogo dotyczy

LiteSpeed QUIC (LSQUIC) Library w wersjach przed 4.0.4

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Litespeedtech Lsquic

    APP
    Litespeedtech
    < 4.0.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-30592CRITICAL9.8ten sam produkt

liblsquic/lsquic_qenc_hdl.c in LiteSpeed QUIC (aka LSQUIC) before 3.1.0 mishandles MAX_TABLE_CAPACITY.

CVE-2025-54939MEDIUM5.3ten sam produkt

LiteSpeed QUIC (LSQUIC) Library before 4.3.1 has an lsquic_engine_packet_in memory leak.

CVE-2026-48172CRITICAL10.0⚠ KEVPL ✓ten sam vendor

LiteSpeed cPanel Plugin — privilege escalation (możliwe root) via Redis

CVE-2024-44000CRITICAL9.8PL ✓ten sam vendor

LiteSpeed Cache – nieuwierzytelnione przejęcie konta przez ujawnione dane logowania

CVE-2024-28000CRITICAL9.8PL ✓ten sam vendor

Privilege escalation bez uwierzytelnienia w LiteSpeed Cache dla WordPress

CVE-2024-25678 — Błędna walidacja DCID w bibliotece LiteSpeed QUIC (LSQUIC) — CRITICAL 9.8 | CVEbaza.pl