A támadók aktívan kihasználnak egy kritikus sérülékenységet a WordPresshez készült Breeze Cache bővítményben, amely hitelesítés nélkül teszi lehetővé tetszőleges fájlok feltöltését a szerverre. A CVE-2026-3844 azonosítón nyomon követett sebezhetőség a 10-es skálán 9,8-as (kritikus) besorolást kapott. A WordPress ökoszisztémához készült Wordfence biztonsági megoldás eddig több mint 170 kihasználási kísérletet észlelt.

A Cloudways által fejlesztett Breeze Cache gyorsítótár-bővítményt több mint 400 000 aktív példányban használják. A megoldás célja a weboldalak teljesítményének és betöltési sebességének javítása a kérések számának csökkentésével, gyorsítótárazással, fájloptimalizálással és adatbázis-karbantartási funkciókkal.

A Defiant kutatói szerint a probléma a fájltípus-ellenőrzés hiányára vezethető vissza a „fetch_gravatar_from_remote” függvényben. Ennek következtében egy nem hitelesített támadó tetszőleges fájlokat tölthet fel a szerverre, ami távoli kódfuttatáshoz (RCE) és a weboldal teljes kompromittálásához vezethet. A kutatók ugyanakkor hangsúlyozzák, hogy a sikeres kihasználás feltétele a „Host Files Locally – Gravatars” kiegészítő engedélyezése, amely alapértelmezés szerint nincs bekapcsolva.

A CVE-2026-3844 az összes Breeze Cache 2.4.4-es és korábbi verzióit érinti. A Cloudways a hibát a hét elején megjelent 2.4.5-ös verzióban javította.

A WordPress.org statisztikái szerint a legfrissebb verzió megjelenése óta a bővítményt közel 138 000 alkalommal töltötték le. Ugyanakkor nem ismert, hogy pontosan hány weboldal érintett, mivel nem áll rendelkezésre információ arról, hogy mennyien használják az említett funkciót.

A bővítményt használó weboldal-tulajdonosoknak és rendszergazdáknak javasolt mielőbb frissíteni a legújabb verzióra, vagy ideiglenesen letiltani a bővítményt. Amennyiben a frissítés nem megoldható, a „Host Files Locally – Gravatars” funkció kikapcsolása is mérsékelheti a kockázatot.