文章总结： BreezeCacheWordPress插件存在CVE-2026-3844高危漏洞（CVSS9.8），允许未授权攻击者上传任意文件，影响超40万个网站。该漏洞源于fetchgravatarfrom_remote函数缺乏文件类型校验，仅在开启本地托管Gravatar功能时可被利用，已监测到超170次攻击。用户需立即升级至2.4.5版本或临时禁用插件。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,应用安全,Web安全,安全运营

黑客利用 Breeze Cache 插件漏洞（CVE-2026-3844）发起攻击，超 40 万个网站面临安全风险

鹏鹏同学 鹏鹏同学

黑猫安全

2026年4月27日 08:49 湖北

在小说阅读器读本章

去阅读

威胁团伙正在利用CVE-2026-3844高危漏洞（CVSS 评分 9.8）攻击 Breeze Cache WordPress 插件，该漏洞允许攻击者无需身份认证即可向服务器上传文件。安全厂商 Wordfence 已监测到针对此漏洞的攻击行为超 170 次。

Breeze Cache 是云托管厂商 Cloudways 推出的免费 WordPress 缓存插件，用于优化网站访问速度与运行性能。功能包含页面缓存、浏览器缓存、文件压缩、Gzip 压缩及 CDN 对接，可有效缩短页面加载时间、优化网站整体分发效率，目前全球已有超 40 万个网站部署该插件。此漏洞由安全研究员 Hung Nguyen（bashu）发现。

Wordfence 发布的报告指出：“WordPress Breeze Cache 插件 2.4.4 及更早所有版本中，fetch_gravatar_from_remote 函数缺少文件类型校验，存在任意文件上传漏洞。未授权攻击者可借此向受影响网站服务器上传恶意文件，进而实现远程代码执行。该漏洞仅在开启「本地托管 Gravatar 头像」功能时可被利用，该选项默认处于关闭状态。”

Wordfence 研究人员表示，该缺陷根源在于fetch_gravatar_from_remote函数未做文件类型校验，致使无认证攻击者可上传任意文件，最终引发远程代码执行、网站完全沦陷接管等严重后果。根据安全公告，漏洞利用的前提是手动开启「Host Files Locally – Gravatars」配置项。漏洞影响 2.4.4 及以下版本，官方已于 2.4.5 版本完成修复。

鉴于该漏洞已被野外活跃利用，Breeze Cache 用户需立即升级至最新版本，或临时禁用该插件以规避风险。

截至撰稿时，Wordfence 数据显示，过去 24 小时内已拦截3936 起针对该漏洞的攻击行为。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《黑客利用 Breeze Cache 插件漏洞（CVE-2026-3844）发起攻击，超 40 万个网站面临安全风险》