Логотип

Хакеры используют уязвимость при загрузке файлов в плагине Breeze Cache для WordPress

Хакеры используют уязвимость при загрузке файлов в плагине Breeze Cache для WordPress

Хакеры активно используют критическую уязвимость в плагине Breeze Cache для WordPress, которая позволяет загружать на сервер произвольные файлы без аутентификации.

Проблема с безопасностью, обозначенная как CVE-2026-3844, использовалась более чем в 170 попытках взлома с помощью решения для обеспечения безопасности Wordfence для экосистемы WordPress.

Плагин для кэширования WordPress Breeze Cache от Cloudways имеет более 400 000 активных установок. Он предназначен для повышения производительности и скорости загрузки за счет уменьшения частоты загрузки страниц с помощью кэширования, оптимизации файлов и очистки базы данных.

Уязвимость получила оценку критичности 9,8 из 10. Она была обнаружена и описана исследователем в области безопасности Хунгом Нгуеном (bashu).

Исследователи из компании Defiant, занимающейся разработкой системы безопасности WordPress Wordfence, утверждают, что проблема связана с отсутствием проверки типа файла в функции fetch_gravatar_from_remote.

Это позволяет злоумышленнику без аутентификации загружать на сервер произвольные файлы, что может привести к удаленному выполнению кода (RCE) и полному захвату сайта.

Однако успешная эксплуатация возможна только при включенном дополнении «Локальное размещение файлов — Gravatars», которое по умолчанию отключено, по словам исследователей.

Уязвимость CVE-2026-3844 затрагивает все версии Breeze Cache до версии 2.4.4 включительно. Cloudways устранила эту ошибку в версии 2.4.5, выпущенной в начале этой недели.

Согласно статистике WordPress.org, с момента выхода последней версии плагина его скачали около 138 000 раз. Однако неизвестно, сколько сайтов уязвимы, поскольку нет данных о том, на скольких из них включена функция Host Files Locally — Gravatars.

Учитывая, что уязвимость активно используется, владельцам и администраторам сайтов, которые полагаются на Breeze Cache для повышения производительности, рекомендуется как можно скорее обновить плагин до последней версии или временно отключить его.

Читать  Sony обновляет PlayStation Plus, чтобы решить проблему с Xbox Game Pass

Если обновление в данный момент невозможно, администраторам следует хотя бы отключить функцию «Локальное размещение файлов — Gravatars».

Просмотров поста: 13

Редактор: AndreyEx

Рейтинг: 5 (1 голос)
Если статья понравилась, то поделитесь ей в социальных сетях:
, , ,
Wordpress, Безопасность в IT, НовостиIT
Кол-во комментариев: 0
Дома из клееного бруса: современные технологии строительства и цифровое проектирование
Intel сокращает участие в open source: что означает закрытие проектов на GitHub

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

двадцать + восемнадцать =

Это может быть вам интересно

Команды WP-CLI: полное справочное руководство (2026). Часть 4
Команды WP-CLI: полное справочное руководство (2026). Часть 4
Apple исправила уязвимость в наушниках Beats Studio Buds, из-за которой хакеры могли прослушивать разговоры
Apple исправила уязвимость в наушниках Beats Studio Buds, из-за которой хакеры могли прослушивать разговоры
Команды WP-CLI: полное справочное руководство (2026). Часть 3
Команды WP-CLI: полное справочное руководство (2026). Часть 3
USB-червь распространяет вредоносное ПО для кражи криптовалюты через файлы ярлыков Windows
USB-червь распространяет вредоносное ПО для кражи криптовалюты через файлы ярлыков Windows

Спасибо!

Теперь редакторы в курсе.

Закрыть
Прокрутить страницу до начала