江蘇
關鍵詞
漏洞
黑客正在積極利用 WordPress 的 Breeze Cache 插件中的一個嚴重漏洞,該漏洞可讓攻擊者在無需身份驗證的情況下,在服務器上上傳任意文件。
此安全漏洞編號為 CVE - 2026 - 3844,WordPress 生態系統的安全解決方案 Wordfence 已監測到超 170 次利用該漏洞的攻擊嘗試。
Cloudways 開發的 Breeze Cache 是一款 WordPress 緩存插件,擁有超 40 萬活躍安裝量,旨在通過緩存、文件優化和數據庫清理減少頁面加載頻率,從而提升網站性能和加載速度。
該漏洞被評定為嚴重級別,在 10 分制中獲 9.8 分,由安全研究員洪阮(Hung Nguyen,網名 bashu)發現并報告。
Wordfence 的開發商、WordPress 安全公司 Defiant 的研究人員表示,問題源于 “fetch_gravatar_from_remote” 函數中缺少文件類型驗證。
這使得未經身份驗證的攻擊者能夠向服務器上傳任意文件,進而可能導致遠程代碼執行(RCE),實現對網站的完全控制。
不過,研究人員稱,只有在啟用 “本地托管文件 - Gravatars” 附加組件(默認未開啟)的情況下,攻擊才可能成功。
CVE - 2026 - 3844 影響 2.4.4 及之前的所有 Breeze Cache 版本。Cloudways 已于本周早些時候發布的 2.4.5 版本中修復該漏洞。
據WordPress.org的統計數據,自最新版本發布以來,該插件約有 13.8 萬次下載。但尚不清楚有多少網站存在漏洞,因為沒有關于啟用 “本地托管文件 - Gravatars” 功能的網站數量數據。
鑒于該漏洞正被積極利用,建議依賴 Breeze Cache 提升性能的網站所有者 / 管理員盡快將插件升級到最新版本,或暫時停用該插件。
如果目前無法升級,管理員至少應禁用 “本地托管文件 - Gravatars” 功能。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
