Hackers exploit file upload bug in Breeze Cache WordPress plugin

Exploitation active de la faille critique dans le plugin WordPress Breeze Cache

Une vulnérabilité critique est actuellement exploitée par des attaquants au sein du plugin WordPress Breeze Cache (plus de 400 000 installations actives). Cette faille permet à un utilisateur non authentifié de téléverser des fichiers arbitraires sur le serveur, pouvant mener à une exécution de code à distance (RCE) et à la prise de contrôle totale du site web.

Points clés :

• Vulnérabilité : Absence de validation du type de fichier dans la fonction fetch_gravatar_from_remote.
• Condition d’exploitation : La faille n’est activable que si l’option « Host Files Locally - Gravatars » est activée.
• Impact : Risque de compromission complète du serveur.
• Historique : Plus de 170 tentatives d’exploitation détectées par Wordfence.

Vulnérabilité identifiée :

• CVE-2026-3844 : Score de sévérité critique de 9.8/10. Affecte toutes les versions du plugin jusqu’à la 2.4.4 incluse.

Recommandations :

• Mise à jour immédiate : Mettre à jour le plugin vers la version 2.4.5 ou supérieure.
• Mesure corrective temporaire : Si la mise à jour est impossible, désactiver impérativement l’option « Host Files Locally - Gravatars » ou désactiver le plugin jusqu’à l’application du correctif.

Source