**Vulnérabilité critique exploitée dans le plugin Breeze Cache** Des pirates exploitent activement une vulnérabilité critique dans le plugin **Breeze Cache** pour **WordPress** qui permet de téléverser des fichiers arbitraires sur le serveur sans authentification. Le problème de sécurité est identifié sous le nom **CVE-2026-3844** et a été utilisé dans plus de 170 tentatives d'exploitation par la solution de sécurité **Wordfence** pour l'écosystème **WordPress**. Le plugin de cache **Breeze Cache WordPress** de **Cloudways** compte plus de 400 000 installations actives et est conçu pour améliorer les performances et la vitesse de chargement en réduisant la fréquence de chargement des pages grâce à la mise en cache, à l'optimisation des fichiers et au nettoyage de la base de données. La vulnérabilité a reçu un score de sévérité critique de 9,8 sur 10 et a été découverte et signalée par le chercheur en sécurité Hung Nguyen (bashu). Les chercheurs de **Wordfence** indiquent que le problème provient de l'absence de validation du type de fichier dans la fonction ‘fetch_gravatar_from_remote’. Cela permet à un attaquant non authentifié de téléverser des fichiers arbitraires sur le serveur, ce qui peut conduire à une exécution de code à distance (RCE) et à une prise de contrôle complète du site web. Cependant, une exploitation réussie n'est possible que si le module complémentaire “Host Files Locally - Gravatars” est activé, ce qui n'est pas l'état par défaut, selon les chercheurs. **Versions affectées et mesures d'atténuation** **CVE-2026-3844** affecte toutes les versions de **Breeze Cache** jusqu'à la version 2.4.4 incluse. **Cloudways** a corrigé la faille dans la version 2.4.5, publiée plus tôt cette semaine. Selon les statistiques de WordPress.org, le plugin a enregistré environ 138 000 téléchargements depuis la sortie de la dernière version. Il est cependant difficile de savoir combien de sites web sont vulnérables, car il n'existe pas de données sur le nombre de sites ayant activé la fonction “Host Files Locally - Gravatars”. Compte tenu de l'exploitation active, il est recommandé aux propriétaires/administrateurs de sites web qui utilisent **Breeze Cache** pour améliorer leurs performances de mettre à jour vers la dernière version du plugin dès que possible ou de le désactiver temporairement. Si la mise à jour n'est pas possible actuellement, les administrateurs devraient au moins désactiver la fonction “Host Files Locally - Gravatars”.