文章总结： 黑客正积极利用WordPress的BreezeCache插件严重漏洞CVE-2026-3844，该漏洞因fetchgravatarfrom_remote函数缺少文件类型验证，允许未认证攻击者上传任意文件，可能导致远程代码执行。漏洞影响2.4.4及之前版本，评分9.8分，已监测到超170次攻击尝试。Cloudways在2.4.5版本修复漏洞，建议用户立即升级插件或禁用本地托管Gravatars功能。 综合评分： 85 文章分类： 漏洞预警,WEB安全,应用安全,网络安全,安全运营

【安全圈】黑客利用 Breeze Cache WordPress 插件文件上传漏洞发动攻击

安全圈

2026年4月24日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

黑客正在积极利用 WordPress 的 Breeze Cache 插件中的一个严重漏洞，该漏洞可让攻击者在无需身份验证的情况下，在服务器上上传任意文件。

此安全漏洞编号为 CVE – 2026 – 3844，WordPress 生态系统的安全解决方案 Wordfence 已监测到超 170 次利用该漏洞的攻击尝试。

Cloudways 开发的 Breeze Cache 是一款 WordPress 缓存插件，拥有超 40 万活跃安装量，旨在通过缓存、文件优化和数据库清理减少页面加载频率，从而提升网站性能和加载速度。

该漏洞被评定为严重级别，在 10 分制中获 9.8 分，由安全研究员洪阮（Hung Nguyen，网名 bashu）发现并报告。

Wordfence 的开发商、WordPress 安全公司 Defiant 的研究人员表示，问题源于 “fetch_gravatar_from_remote” 函数中缺少文件类型验证。

这使得未经身份验证的攻击者能够向服务器上传任意文件，进而可能导致远程代码执行（RCE），实现对网站的完全控制。

不过，研究人员称，只有在启用 “本地托管文件 – Gravatars” 附加组件（默认未开启）的情况下，攻击才可能成功。

CVE – 2026 – 3844 影响 2.4.4 及之前的所有 Breeze Cache 版本。Cloudways 已于本周早些时候发布的 2.4.5 版本中修复该漏洞。

据WordPress.org的统计数据，自最新版本发布以来，该插件约有 13.8 万次下载。但尚不清楚有多少网站存在漏洞，因为没有关于启用 “本地托管文件 – Gravatars” 功能的网站数量数据。

鉴于该漏洞正被积极利用，建议依赖 Breeze Cache 提升性能的网站所有者 / 管理员尽快将插件升级到最新版本，或暂时停用该插件。

如果目前无法升级，管理员至少应禁用 “本地托管文件 – Gravatars” 功能。

END

阅读推荐

【安全圈】《王者荣耀》惊现逆天bug

【安全圈】理想汽车严正声明：系统遭黑客破解、配合走私均为不实信息

【安全圈】Claude Mythos 发现 271 个火狐浏览器漏洞

【安全圈】未受保护的 Perforce 服务器暴露主要组织的敏感数据

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】黑客利用 Breeze Cache WordPress 插件文件上传漏洞发动攻击》