Vulnerabilidade Crítica no Plugin Breeze Cache para WordPress Está Sendo Ativamente Explorada
Uma vulnerabilidade crítica no plugin **Breeze Cache** para **WordPress** está sendo ativamente explorada, permitindo que atacantes não autenticados façam upload de arquivos arbitrários. A falha, rastreada como **CVE-2026-3844**, pode levar à execução remota de código e à tomada completa do site.
**Vulnerabilidade Crítica Explorada no Plugin Breeze Cache**
Hackers estão explorando ativamente uma vulnerabilidade crítica no plugin **Breeze Cache** para **WordPress** que permite o upload de arquivos arbitrários no servidor sem autenticação.
O problema de segurança é rastreado como **CVE-2026-3844** e já foi utilizado em mais de 170 tentativas de exploração pela solução de segurança **Wordfence** para o ecossistema **WordPress**.
O plugin de cache **Breeze Cache WordPress** da **Cloudways** possui mais de 400.000 instalações ativas e é projetado para melhorar o desempenho e a velocidade de carregamento, reduzindo a frequência de carregamento de páginas através de cache, otimização de arquivos e limpeza de banco de dados.
A vulnerabilidade recebeu uma pontuação de severidade crítica de 9.8 em 10 e foi descoberta e reportada pelo pesquisador de segurança Hung Nguyen (bashu).
Pesquisadores da **Wordfence** afirmam que o problema decorre da falta de validação do tipo de arquivo na função ‘fetch_gravatar_from_remote’.
Isso permite que um atacante não autenticado faça upload de arquivos arbitrários para o servidor, o que pode levar à execução remota de código (RCE) e à tomada completa do site.
No entanto, a exploração bem-sucedida só é possível se o add-on “Host Files Locally - Gravatars” estiver ativado, o que não é o estado padrão, segundo os pesquisadores.
**Versões Afetadas e Mitigação**
**CVE-2026-3844** afeta todas as versões do **Breeze Cache** até a 2.4.4, inclusive. A **Cloudways** corrigiu a falha na versão 2.4.5, lançada no início desta semana.
De acordo com estatísticas do WordPress.org, o plugin teve aproximadamente 138.000 downloads desde o lançamento da versão mais recente. No entanto, não está claro quantos sites estão vulneráveis, pois não há dados sobre o número de sites que possuem o Host Files Locally - Gravatars ativado.
Dada a exploração ativa, proprietários/administradores de sites que dependem do **Breeze Cache** para impulsionar o desempenho são recomendados a atualizar para a versão mais recente do plugin o mais rápido possível ou desativá-lo temporariamente.
Se a atualização não for possível no momento, os administradores devem pelo menos desativar o “Host Files Locally - Gravatars”.