Логотип

Хакеры используют уязвимость при загрузке файлов в плагине Breeze Cache для WordPress

Хакеры используют уязвимость при загрузке файлов в плагине Breeze Cache для WordPress

Хакеры активно используют критическую уязвимость в плагине Breeze Cache для WordPress, которая позволяет загружать на сервер произвольные файлы без аутентификации.

Проблема с безопасностью, обозначенная как CVE-2026-3844, использовалась более чем в 170 попытках взлома с помощью решения для обеспечения безопасности Wordfence для экосистемы WordPress.

Плагин для кэширования WordPress Breeze Cache от Cloudways имеет более 400 000 активных установок. Он предназначен для повышения производительности и скорости загрузки за счет уменьшения частоты загрузки страниц с помощью кэширования, оптимизации файлов и очистки базы данных.

Уязвимость получила оценку критичности 9,8 из 10. Она была обнаружена и описана исследователем в области безопасности Хунгом Нгуеном (bashu).

Исследователи из компании Defiant, занимающейся разработкой системы безопасности WordPress Wordfence, утверждают, что проблема связана с отсутствием проверки типа файла в функции fetch_gravatar_from_remote.

Это позволяет злоумышленнику без аутентификации загружать на сервер произвольные файлы, что может привести к удаленному выполнению кода (RCE) и полному захвату сайта.

Однако успешная эксплуатация возможна только при включенном дополнении «Локальное размещение файлов — Gravatars», которое по умолчанию отключено, по словам исследователей.

Уязвимость CVE-2026-3844 затрагивает все версии Breeze Cache до версии 2.4.4 включительно. Cloudways устранила эту ошибку в версии 2.4.5, выпущенной в начале этой недели.

Согласно статистике WordPress.org, с момента выхода последней версии плагина его скачали около 138 000 раз. Однако неизвестно, сколько сайтов уязвимы, поскольку нет данных о том, на скольких из них включена функция Host Files Locally — Gravatars.

Читать  Защитите Вашу папку admin в WordPress путем ограничения доступа в .htaccess

Учитывая, что уязвимость активно используется, владельцам и администраторам сайтов, которые полагаются на Breeze Cache для повышения производительности, рекомендуется как можно скорее обновить плагин до последней версии или временно отключить его.

Если обновление в данный момент невозможно, администраторам следует хотя бы отключить функцию «Локальное размещение файлов — Gravatars».

Просмотров поста: 4

Редактор: AndreyEx

Рейтинг: 5 (1 голос)
Если статья понравилась, то поделитесь ей в социальных сетях:
, , ,
Wordpress, Безопасность в IT, НовостиIT
Кол-во комментариев: 0
Дома из клееного бруса: современные технологии строительства и цифровое проектирование

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

3 × 4 =

Это может быть вам интересно

Microsoft выпустила срочные обновления для критической уязвимости ASP.NET
Microsoft выпустила срочные обновления для критической уязвимости ASP.NET
Оповещения об изменениях в учетной записи Apple используются для рассылки фишинговых писем
Оповещения об изменениях в учетной записи Apple используются для рассылки фишинговых писем
Критическая уязвимость в библиотеке Protobuf позволяет выполнять код JavaScript
Критическая уязвимость в библиотеке Protobuf позволяет выполнять код JavaScript
Недавно обнаруженные уязвимости в Windows, которые использовались для атак
Недавно обнаруженные уязвимости в Windows, которые использовались для атак

Спасибо!

Теперь редакторы в курсе.

Закрыть
Прокрутить страницу до начала