**Vulnerabilidad Crítica Explotada en el Plugin Breeze Cache** Los hackers están explotando activamente una vulnerabilidad crítica en el plugin **Breeze Cache** para **WordPress** que permite subir archivos arbitrarios al servidor sin autenticación. El problema de seguridad se rastrea como **CVE-2026-3844** y ha sido aprovechado en más de 170 intentos de explotación por la solución de seguridad **Wordfence** para el ecosistema de **WordPress**. El plugin de caché **Breeze Cache WordPress** de **Cloudways** tiene más de 400,000 instalaciones activas y está diseñado para mejorar el rendimiento y la velocidad de carga al reducir la frecuencia de carga de páginas mediante caché, optimización de archivos y limpieza de base de datos. La vulnerabilidad recibió una puntuación de severidad crítica de 9.8 sobre 10 y fue descubierta y reportada por el investigador de seguridad Hung Nguyen (bashu). Investigadores de **Wordfence** afirman que el problema se origina en la falta de validación del tipo de archivo en la función ‘fetch_gravatar_from_remote’. Esto permite a un atacante no autenticado subir archivos arbitrarios al servidor, lo que puede conducir a ejecución remota de código (RCE) y la toma completa del sitio web. Sin embargo, la explotación exitosa solo es posible si el complemento “Host Files Locally - Gravatars” está activado, lo cual no es el estado predeterminado, según los investigadores. **Versiones Afectadas y Mitigación** **CVE-2026-3844** afecta a todas las versiones de **Breeze Cache** hasta la 2.4.4 inclusive. **Cloudways** corrigió la falla en la versión 2.4.5, lanzada a principios de esta semana. Según estadísticas de WordPress.org, el plugin ha tenido aproximadamente 138,000 descargas desde el lanzamiento de la última versión. Sin embargo, no está claro cuántos sitios web son vulnerables, ya que no hay datos sobre cuántos tienen habilitado el complemento Host Files Locally - Gravatars. Dada la situación de explotación activa, se recomienda a los propietarios/administradores de sitios web que dependen de **Breeze Cache** para mejorar el rendimiento que actualicen a la última versión del plugin lo antes posible o lo deshabiliten temporalmente. Si la actualización no es posible en este momento, los administradores deberían al menos deshabilitar el complemento “Host Files Locally - Gravatars”.