**Breeze Cacheプラグインで重大な脆弱性が悪用される** ハッカーは、WordPress用**Breeze Cache**プラグインの重大な脆弱性を活発に悪用しており、認証なしでサーバー上に任意のファイルをアップロードできるようになっています。 このセキュリティ問題は**CVE-2026-3844**として追跡されており、WordPressエコシステムのセキュリティソリューションである**Wordfence**によって170件以上の悪用試行で利用されています。 **Cloudways**製の**Breeze Cache WordPress**キャッシュプラグインは、40万以上の有効なインストール数を誇り、キャッシュ、ファイル最適化、データベースクリーンアップを通じてページ読み込み頻度を減らすことで、パフォーマンスと読み込み速度の向上を目的としています。 この脆弱性は10点満点中9.8という重大な深刻度スコアを獲得しており、セキュリティ研究者のHung Nguyen（bashu）によって発見・報告されました。 **Wordfence**の研究者によると、問題は「fetch_gravatar_from_remote」関数におけるファイルタイプの検証漏れに起因しています。 これにより、認証されていない攻撃者がサーバーに任意のファイルをアップロードできるようになり、リモートコード実行（RCE）やウェブサイトの完全な乗っ取りにつながる可能性があります。 ただし、研究者によると、この脆弱性の悪用は、「Host Files Locally - Gravatars」アドオンが有効になっている場合にのみ成功可能であり、これはデフォルトの状態ではありません。 **影響を受けるバージョンと対策** **CVE-2026-3844**は、2.4.4以前のすべての**Breeze Cache**バージョンに影響します。**Cloudways**は、今週初めにリリースされたバージョン2.4.5でこの脆弱性を修正しました。 WordPress.orgの統計によると、最新バージョンのリリース以降、このプラグインは138,000回近くダウンロードされています。「Host Files Locally - Gravatars」が有効になっているウェブサイトの数に関するデータがないため、いくつのウェブサイトが脆弱であるかは不明です。 活発な悪用状況を考慮すると、パフォーマンス向上のために**Breeze Cache**を利用しているウェブサイトの所有者/管理者は、できるだけ早くプラグインを最新バージョンにアップグレードするか、一時的に無効にすることが推奨されます。 アップグレードが現在不可能な場合は、少なくとも「Host Files Locally - Gravatars」を無効にする必要があります。