Hackers estão explorando ativamente uma vulnerabilidade crítica no plugin Breeze Cache para WordPress, que permite o envio de arquivos arbitrários ao servidor sem necessidade de autenticação.
O problema de segurança é identificado como
CVE-2026-3844
e já foi usado em mais de 170 tentativas de exploração detectadas pela solução de segurança Wordfence.
O Breeze Cache, desenvolvido pela Cloudways, tem mais de 400.000 instalações ativas e foi criado para melhorar o desempenho e a velocidade de carregamento dos sites, reduzindo o tempo de carregamento das páginas por meio de cache, otimização de arquivos e limpeza do banco de dados.
A vulnerabilidade recebeu nota crítica de 9,8 em 10 e foi descoberta e reportada pelo pesquisador de segurança Hung Nguyen.
Segundo pesquisadores da Defiant, empresa responsável pelo Wordfence, o problema está na ausência de validação do tipo de arquivo na função “fetch_gravatar_from_remote”.
Na prática, isso permite que um atacante sem autenticação envie arquivos arbitrários para o servidor, o que pode levar à execução remota de código e ao comprometimento total do site.
No entanto, a exploração só é possível se o complemento “Host Files Locally - Gravatars” estiver ativado, algo que não ocorre por padrão, afirmam os pesquisadores.
A
CVE-2026-3844
afeta todas as versões do Breeze Cache até a 2.4.4, inclusive.
A Cloudways corrigiu a falha na versão 2.4.5, lançada no início desta semana.
De acordo com estatísticas do WordPress.org, o plugin recebeu cerca de 138.000 downloads desde a liberação da versão mais recente.
Ainda não há como saber quantos sites estão vulneráveis, já que não existem dados sobre quantos administradores mantêm o recurso “Host Files Locally - Gravatars” ativado.
Diante da exploração ativa, administradores e donos de sites que usam o Breeze Cache são recomendados a atualizar o plugin o quanto antes para a versão mais recente ou, temporariamente, desativá-lo.
Se a atualização não for possível no momento, ao menos o recurso “Host Files Locally - Gravatars” deve ser desativado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...