Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-3844 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-23 |
| Producent | WordPress |
| Produkt | Breeze Cache (plugin) |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Plugin Breeze Cache dla WordPress jest podatny na arbitrary file upload z powodu braku walidacji typu pliku w funkcji
fetch_gravatar_from_remotewe wszystkich wersjach do 2.4.4 włącznie. Pozwala to nieuwierzytelnionym atakującym na wgrywanie dowolnych plików na serwer dotknięty podatnością, co może umożliwić zdalne wykonanie kodu (RCE). Podatność może być wykorzystana wyłącznie wtedy, gdy włączona jest opcja “Host Files Locally - Gravatars”, która domyślnie jest wyłączona.
Wymagane działania
Niezwłocznie zaktualizuj plugin Breeze Cache do wersji wyższej niż 2.4.4. Jako mitygacja tymczasowa upewnij się, że opcja “Host Files Locally - Gravatars” jest wyłączona w konfiguracji wtyczki. Przejrzyj katalog uploads pod kątem nieautoryzowanych plików i zweryfikuj integralność instalacji WordPress.
Kogo dotyczy?
Podatność dotyczy pluginu Breeze Cache dla WordPress w wersjach do 2.4.4 włącznie, gdy aktywna jest opcja “Host Files Locally - Gravatars”. Sprawdź czy Twoja organizacja używa tego pluginu i niezwłocznie zaktualizuj go do wersji zawierającej poprawkę.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
