LiteSpeed Cache tiene una vulnerabilidad activa desde mayo de 2026 (CVE-2026-3375) que permite a atacantes no autenticados escalar privilegios y tomar control total de instalaciones WordPress. Para actualizar LiteSpeed Cache, ve a Plugins → Actualizaciones → Actualizar ahora.

En 30 segundos

  • LiteSpeed Tech publicó CVE-2026-3375 el 27 de mayo de 2026: un nuevo vector de escalada de privilegios sin autenticación que afecta a todos los sitios que no actualizaron el plugin desde esa fecha.
  • El historial es pesado: CVE-2024-28000 (CVSS 9.8), CVE-2024-50550 (CVSS 8.1) y CVE-2024-47374 (XSS) ya habían comprometido a más de 5 millones de sitios en rondas anteriores.
  • La versión 6.5.2 o superior cierra los CVEs de 2024, pero para CVE-2026-3375 necesitás la actualización de mayo de 2026.
  • Además del parche, hay que eliminar /wp-content/debug.log si existe: expone cookies de sesión y es parte del vector de ataque confirmado.
  • El error más común: aplicar el update sin hacer Purge All después. Los objetos cacheados del estado vulnerable quedan en el servidor.

LiteSpeed Cache es un plugin de caché y optimización para WordPress desarrollado por LiteSpeed Technologies, con más de 5 millones de instalaciones activas. Incluye caché a nivel servidor, optimización de imágenes, minificación de CSS/JS y CDN integrado. Con esa base instalada, cada vulnerabilidad nueva toca a millones de sitios simultáneamente, lo que lo convierte en el blanco más rentable del ecosistema WordPress.

¿Qué vulnerabilidades críticas tiene LiteSpeed Cache y por qué importan?

Ponele que un atacante externo, sin usuario ni contraseña en tu WordPress, puede crear una cuenta administrador en segundos. No porque haya robado nada, sino porque el plugin de caché que instalaste para mejorar la velocidad tiene un fallo en el control de acceso que le abre esa puerta. Eso fue exactamente lo que pasó con CVE-2024-28000, y el patrón se repitió en 2026.

Los CVEs de LiteSpeed Cache de los últimos dos años pintan un historial de fallas recurrentes que no es casual. Los más críticos fueron:

  • CVE-2024-28000 (CVSS 9.8 — Crítico): Escalada de privilegios no autenticada. Un atacante podía crear un usuario administrador sin credenciales previas. Afectó versiones hasta 6.3.0.1 e impactó a más de 5 millones de sitios según el análisis de Patchstack.
  • CVE-2024-50550 (CVSS 8.1 — Alto): Otro vector de escalada de privilegios, descubierto semanas después del anterior. Afectó versiones posteriores a la rama 6.4.x.
  • CVE-2024-47374 (XSS reflejado): Cross-Site Scripting que permitía inyectar código en el panel de administración. Afectó versiones hasta 6.5.0.2 y BleepingComputer lo señaló como exposición de 6 millones de sitios.
  • CVE-2026-3375 (mayo 2026): La vulnerabilidad más reciente. LiteSpeed Tech publicó el advisory el 27 de mayo de 2026 con un nuevo vector de toma de control que involucra el archivo debug.log como facilitador del ataque.

El patrón es claro: este plugin tiene un historial recurrente de fallas en el control de acceso y en la gestión de sesiones. No es mala suerte. La superficie que genera (caché de objetos, roles de usuario, endpoints REST, archivos de debug) es compleja de proteger bien, y cada versión nueva abre oportunidades para encontrar el siguiente hueco.

¿Cuál es la versión mínima segura de LiteSpeed Cache?

La respuesta directa: la última versión disponible en el repositorio oficial de WordPress. Pero si necesitás entender qué versión cierra qué CVE específico, esta tabla lo resume:

Versión instaladaEstado de seguridadCVEs expuestos / resueltos
Hasta 6.3.0.1Vulnerable — críticoExpuesto a CVE-2024-28000 (CVSS 9.8)
6.4.xParcialmente parcheadoCierra CVE-2024-28000, pero no CVE-2024-47374 (XSS)
Hasta 6.5.0.2Vulnerable a XSSExpuesto a CVE-2024-47374
6.5.2 y 6.5.x posteriorSeguro para CVEs 2024Resuelve CVE-2024-28000, CVE-2024-50550 y CVE-2024-47374
Versión lanzada post 27/05/2026Seguro para 2026Incluye parche para CVE-2026-3375
actualizar litespeed cache vulnerabilidad diagrama explicativo

Ojo: tener 6.5.2 no alcanza en junio de 2026. Esa versión cierra los problemas del año pasado, pero CVE-2026-3375 requiere la actualización de mayo de este año. Si no actualizaste desde el 27 de mayo, seguís expuesto (y eso aplica aunque tengas Wordfence instalado, como explico más abajo).

Cómo verificar tu versión actual de LiteSpeed Cache instalada

Tres formas de hacerlo, de más simple a más técnica:

¿Cuál es la versión de LiteSpeed Cache desde el panel de WordPress?

Ir a Plugins → Plugins instalados. Buscá LiteSpeed Cache en la lista. Debajo del nombre del plugin aparece el número de versión instalado. Si dice «Actualizar a la versión X.X.X», ya sabés que estás expuesto. Hacelo antes de seguir leyendo. Sobre eso hablamos en qué son los CVE en WordPress.

¿Cómo ver la versión desde LiteSpeed Cache → Herramientas?

Dentro del panel de administración, ir a LiteSpeed Cache → Herramientas. En la esquina superior derecha del panel del plugin aparece el número de versión. También podés ver desde ahí si el modo debug está activo (en ese caso, desactivarlo y eliminar el archivo debug.log del servidor).

¿Cómo verificar que LiteSpeed Cache está activo desde los headers HTTP?

Abrí DevTools (F12) → pestaña Network → recargá la página → hacé clic en el request principal al dominio → Response Headers. Si existe el header X-LiteSpeed-Cache: hit, el plugin está corriendo. Si ves miss en la primera carga y hit en la segunda, la caché funciona. Este método no te da el número de versión, pero confirma que el plugin está activo en producción.

¿Y por qué importa saber la versión exacta? Porque comparándola contra la tabla de arriba sabés en un segundo si tenés un CVE abierto o no. Sin ese número, estás adivinando.

Cómo actualizar LiteSpeed Cache para cerrar esta vulnerabilidad

El proceso tarda menos de cinco minutos. El problema no es la dificultad técnica, sino el orden: la mayoría de los incidentes post-update ocurren porque alguien saltó el paso 1. Lo explicamos a fondo en implementar un WAF efectivo.

  • Paso 1 — Backup completo ANTES de tocar nada: Usá WPVivid u otro plugin con descarga a storage externo. Un backup que vive solo en el mismo servidor no te salva si el servidor se cae. Si tu sitio está en donweb.com, los planes incluyen backup diario automático, pero igual hacé uno manual antes de un update de seguridad.
  • Paso 2 — Ir a Escritorio → Actualizaciones: Esta pantalla muestra todos los plugins con actualizaciones pendientes. LiteSpeed Cache va a aparecer ahí si hay una versión nueva disponible.
  • Paso 3 — Aplicar la actualización: Tick en LiteSpeed Cache → Actualizar plugins. WordPress descarga e instala la nueva versión automáticamente. El proceso tarda menos de un minuto en la mayoría de los casos.
  • Paso 4 — Verificar el número de versión post-update: Volvé a Plugins → Plugins instalados y confirmá que el número de versión cambió al nuevo. Si sigue mostrando la versión anterior, el update no se completó.
  • Paso 5 — Purge All (crítico, no saltearse): Ir a LiteSpeed Cache → Herramientas → Purge All. Sin este paso, los visitantes siguen viendo contenido cacheado del estado anterior y, peor, pueden quedar objetos cacheados que el exploit podría aprovechar.
  • Paso 6 — Eliminar debug.log si existe: Verificá si existe /wp-content/debug.log vía FTP o el administrador de archivos de tu hosting. Si existe, eliminalo. Este archivo es parte del vector de CVE-2026-3375.

El paso 5 y el paso 6 son los que más se saltean (spoiler: y los que más dolores de cabeza generan después). El Purge All es obligatorio después de cualquier update de un plugin de caché.

Qué verificar después de actualizar LiteSpeed Cache

Aplicaste el update. Bien. Ahora hay que confirmar que el sitio sigue funcionando y que debug.log no sigue exponiendo datos:

  • Revisá los Response Headers: DevTools → Network → recargá la página de inicio → Response Headers. Buscá X-LiteSpeed-Cache: hit después de la segunda carga. Si aparece, la caché está funcionando con la nueva versión.
  • Verificá que debug.log no sea accesible públicamente: Desde el navegador, probá https://tu-sitio.com/wp-content/debug.log. Tiene que devolver 403 o 404. Si devuelve 200 con contenido, ese archivo está expuesto y es el vector de ataque de CVE-2026-3375. Eliminalo y configurá una regla en .htaccess o en tu servidor para bloquear ese path.
  • Probá las páginas clave del sitio: Página de inicio, un post, el formulario de contacto, el carrito si tenés WooCommerce. Un update de LiteSpeed Cache puede romper reglas de minificación de CSS/JS que tenías configuradas.
  • Revisá el log de errores del servidor: Si tenés acceso SSH o al administrador de archivos, revisá wp-content/debug.log y el error log del servidor buscando errores 500 nuevos. Si WP_DEBUG estaba activado, desactivalo ahora en wp-config.php.

Medidas adicionales de protección más allá del parche

Actualizar LiteSpeed Cache cierra la vulnerabilidad específica. Lo que sigue reduce la superficie de ataque para el próximo CVE, porque va a haber un próximo CVE.

  • Activar actualizaciones automáticas para LiteSpeed Cache: En Plugins → Plugins instalados, a la derecha de LiteSpeed Cache hay un toggle «Activar actualizaciones automáticas». Para un plugin con este historial, tiene sentido activarlo. Si te preocupa que un update automático rompa algo, configurá primero un entorno de staging.
  • Desactivar WP_DEBUG en producción: Si tenés define('WP_DEBUG', true); en wp-config.php, cambialo a false. Esto evita que se genere debug.log con información sensible. En local está bien tenerlo activo; en producción, nunca.
  • Instalar un WAF: Un firewall de aplicaciones web puede bloquear intentos de explotación incluso si el plugin no está actualizado. GOTMLS, Wordfence o el firewall a nivel servidor de LiteSpeed son opciones. El WAF no reemplaza el parche, pero da tiempo de reacción.
  • Cambiar contraseñas de admin si hubo exposición: Si el sitio estuvo sin parchear por semanas y no tenés certeza de que nadie lo explotó, cambiá las contraseñas de todos los usuarios con rol editor o superior. También revisá la lista de usuarios en Usuarios → Todos los usuarios buscando cuentas que no reconocés.
  • Suscribirse a alertas de seguridad: El feed RSS de Wordfence Threat Intelligence o las alertas de Patchstack avisan de CVEs nuevos antes de que lleguen a la prensa masiva. Con eso, tenés una ventana de horas en vez de días para reaccionar.

Qué está confirmado y qué no sobre CVE-2026-3375

PuntoEstado
CVE-2026-3375 existe y LiteSpeed Tech lo confirmóConfirmado: publicado el 27/05/2026 en el blog oficial de LiteSpeed
Parche disponible en el repositorio oficial de WordPressConfirmado: el update está disponible vía Panel de Plugins desde mayo 2026
El vector involucra debug.log para facilitar el ataqueConfirmado: mencionado en los advisories de seguridad
Explotación activa confirmada en la wild a junio de 2026No confirmado públicamente: monitorear Wordfence y BleepingComputer
Cantidad exacta de sitios sin parchear a la fechaSin cifra pública disponible todavía

Errores comunes que cometen los webmasters al aplicar este parche

Hay seis pasos en la guía de arriba. La mayoría de los problemas vienen de saltarse siempre los mismos. Esto se conecta con lo que analizamos en estrategias de protección integral.

  • Error 1: No hacer backup antes de actualizar. Si el update genera un conflicto con otro plugin y el sitio cae, sin backup estás entre la espada y la pared. Este es el error con mayor impacto posible. El backup tarda dos minutos y puede salvarte horas de recuperación.
  • Error 2: No purgar la caché después del update. Aplicás la actualización, ves que el número de versión cambió, y asumís que todo está listo. Pero los objetos cacheados del estado anterior siguen en el servidor. El Purge All es obligatorio siempre después de un update de seguridad de un plugin de caché. Siempre.
  • Error 3: Ignorar el archivo debug.log. Actualizás el plugin y creés que cerraste todo. Pero si debug.log existe y está accesible desde el navegador (que por defecto lo es, a menos que tu servidor tenga una regla que lo bloquee), el vector de robo de cookies sigue abierto. Es parte del ataque de CVE-2026-3375.
  • Error 4: Actualizar en producción sin testear en staging. LiteSpeed Cache tiene configuraciones de minificación, lazy load y exclusiones de caché que pueden romperse con una versión nueva. Si tenés un sitio con tráfico significativo, probá el update en staging primero. El tiempo extra que tarda vale la pena.
  • Error 5: Creer que Wordfence lo cubre todo. El WAF ayuda, pero las firmas de detección de un exploit nuevo tardan horas o días en actualizarse. Mientras el plugin sigue en versión vulnerable, la puerta está abierta aunque Wordfence esté activo. Son capas complementarias, no alternativas.

Preguntas Frecuentes

¿Cuál es la versión segura de LiteSpeed Cache que debería tener instalada?

La versión 6.5.2 o superior cierra los CVEs de 2024 (incluyendo CVE-2024-28000 con CVSS 9.8). Para estar protegido contra CVE-2026-3375, necesitás la versión lanzada después del 27 de mayo de 2026. La regla práctica es siempre tener la versión más reciente disponible en el repositorio oficial de WordPress: comprobalo en Plugins → Plugins instalados.

¿Cómo actualizar LiteSpeed Cache sin romper el sitio WordPress?

Hacé backup antes (con WPVivid u otro plugin que descargue a storage externo), aplicá la actualización desde Escritorio → Actualizaciones, y después hacé Purge All desde LiteSpeed Cache → Herramientas. Si querés ser más cuidadoso, probá el update en staging primero y recién ahí aplicalo en producción. La actualización en sí es rápida y rara vez genera conflictos, pero el backup es la red de seguridad que te salva cuando sí los genera.

¿Cómo verificar si tengo la versión vulnerable de LiteSpeed Cache?

Ir a Plugins → Plugins instalados → buscar LiteSpeed Cache → ver el número de versión debajo del nombre del plugin. Si es menor a 6.5.2 o si aparece el aviso «Hay una actualización disponible», estás en versión vulnerable. También podés ir a Escritorio → Actualizaciones para ver todos los plugins con updates pendientes de una sola vez.

¿Qué pasa si un atacante ya explotó la vulnerabilidad antes de que actualizara?

Revisá Usuarios → Todos los usuarios buscando cuentas que no creaste vos, especialmente con roles de administrador o editor. Si encontrás usuarios desconocidos, el sitio probablemente fue comprometido. En ese caso, el primer paso es cambiar todas las contraseñas, revocar sesiones activas y revisar si hay archivos modificados o inyecciones de código. Un update del plugin no limpia una infección que ya ocurrió.

¿Es necesario actualizar LiteSpeed Cache si ya tengo Wordfence instalado?

Sí, es necesario. Wordfence tiene un firewall que puede bloquear intentos de explotación conocidos, pero sus firmas de detección se actualizan después de que el exploit se documenta públicamente, no antes. Mientras el plugin sigue en versión vulnerable, hay una ventana en la que el ataque puede pasar sin que Wordfence lo detecte. El parche cierra el problema en la fuente; el WAF es una capa extra encima, no un sustituto.

Conclusión

LiteSpeed Cache lleva dos años siendo uno de los plugins más explotados de WordPress, con CVEs de CVSS 9.8 que permitían toma de control total sin autenticación. CVE-2026-3375 es la continuación de ese patrón: LiteSpeed Tech publicó el parche el 27 de mayo de 2026, y cada día que pasa sin actualizar es un día de exposición innecesaria.

El paso urgente es ir a Escritorio → Actualizaciones ahora mismo. Después: eliminar debug.log si existe, hacer Purge All, y activar actualizaciones automáticas para no tener que correr de nuevo la próxima vez que salga un CVE. Y va a salir.

Lo que cambia no es si hay un próximo parche crítico, sino si ya tenés el sistema para aplicarlo en minutos o si lo vas a ver dos semanas después de la noticia, cuando los bots ya escanearon cada WordPress sin parchear de internet.

Fuentes

Categorizado en:

VulnerabilidadesActualizaciones de seguridad

Etiquetado en:

, , , ,