Читайте статью
Image

NGFW, который тормозит сеть — это не защита

Эксперты протестировали 12 NGFW в условиях реальной нагрузки. Результаты расходятся с обещаниями вендоров.

170 атак за неделю, 400 000 сайтов под угрозой. Breeze Cache для WordPress пропускает хакеров без пароля

Breeze Cache WordPress CVE-2026-3844 уязвимость
170 атак за неделю, 400 000 сайтов под угрозой. Breeze Cache для WordPress пропускает хакеров без пароля
Breeze Cache WordPress CVE-2026-3844 уязвимость

Плагин для ускорения стал удобной лазейкой для хакеров.

image

У популярного плагина Breeze Cache для WordPress нашли критическую уязвимость, которую уже пытаются использовать в реальных атаках. Ошибка позволяет загружать на сервер произвольные файлы без входа в учетную запись. Для сайта такой сценарий опасен не сам по себе, а последствиями: если злоумышленник сможет загрузить исполняемый файл, атака может закончиться удаленным выполнением кода и полным захватом ресурса.

Уязвимость получила идентификатор CVE-2026-3844 и оценку 9,8 балла из 10 по шкале критичности. Проблему обнаружил и передал разработчикам исследователь безопасности Хунг Нгуен, известный под ником bashu. Компания Defiant, которая развивает защитное решение Wordfence для экосистемы WordPress, уже зафиксировала более 170 попыток эксплуатации.

Breeze Cache выпускает Cloudways. Плагин установлен более чем на 400000 сайтов и используется для ускорения загрузки страниц: он кэширует контент, оптимизирует файлы и помогает очищать базу данных. Как часто бывает с инструментами для производительности, плагин получает доступ к чувствительным участкам сайта, поэтому ошибка в обработке файлов быстро превращается в серьезный риск.

Проблема находится в функции fetch_gravatar_from_remote. Исследователи Defiant выяснили, что функция не проверяет тип загружаемого файла. Из-за этого атакующий без авторизации может отправить на сервер не изображение, а любой другой файл. В худшем случае такой файл позволит выполнить команды на сервере и получить контроль над сайтом.

Есть важное ограничение: атака работает только при включенном дополнении Host Files Locally - Gravatars. Этот режим сохраняет аватары Gravatar локально на сайте, чтобы не загружать их каждый раз с внешнего сервиса. По данным исследователей, по умолчанию функция отключена. Поэтому под угрозой находятся не все установки Breeze Cache, а сайты, где администраторы включили локальное хранение Gravatar.

CVE-2026-3844 затрагивает все версии Breeze Cache до 2.4.4 включительно. Cloudways закрыла дыру в версии 2.4.5, выпущенной на этой неделе. По статистике WordPress.org, после выхода исправления плагин скачали около 138000 раз. Сколько сайтов все еще остаются уязвимыми, неизвестно: открытых данных о числе установок с включенным Host Files Locally - Gravatars нет.

Администраторам сайтов на WordPress стоит как можно быстрее обновить Breeze Cache до последней версии. Если обновление пока невозможно, нужно хотя бы отключить Host Files Locally - Gravatars. При активной эксплуатации откладывать исправление опасно: уязвимость не требует учетной записи и при удачном сценарии дает атакующему прямой путь к выполнению кода на сервере.