Плагины для кэширования - обязательный элемент любого нагруженного сайта на WordPress, но их сложность и привилегированный доступ к файловой системе делают их привлекательной целью для злоумышленников. В конце апреля 2026 года исследователь Хунг Нгуен из Вьетнама обнаружил критическую уязвимость в популярном плагине Breeze Cache, которая позволяет атакующему, не имеющему учётной записи на сайте, загружать произвольные файлы на сервер. Команда Wordfence зафиксировала более 2800 атак, нацеленных на этот дефект, всего за одни сутки, что говорит о высоком интересе злоумышленников к данной проблеме.
Уязвимость CVE-2026-3844
Уязвимость, получившая идентификатор CVE-2026-3844 (международный идентификатор уязвимости), затрагивает все версии плагина Breeze Cache до 2.4.4 включительно. Разработчиком плагина является компания Cloudways. Согласно системе оценки критичности CVSS (Common Vulnerability Scoring System - стандарт для оценки серьёзности уязвимостей), дефект получил максимальные 9.8 балла из 10, что соответствует категории "критический". Вектор атаки описывается как сетевой, низкой сложности, не требующий аутентификации и какого-либо взаимодействия с пользователем, при этом нарушение конфиденциальности, целостности данных и доступности системы оценивается как высокое.
Причина уязвимости кроется в функции "fetch_gravatar_from_remote", отвечающей за загрузку аватаров пользователей с удалённого сервиса Gravatar. Разработчики не предусмотрели проверку типа загружаемого файла, что позволяет злоумышленнику вместо стандартного изображения отправить на сервер исполняемый скрипт, например, на языке PHP. Важно отметить, что уязвимость может быть использована только при включённой опции "Host Files Locally - Gravatars", которая по умолчанию отключена. Между тем, многие администраторы сайтов сознательно активируют эту функцию для ускорения загрузки страниц, так как она позволяет хранить аватары локально, вместо того чтобы каждый раз обращаться к внешнему серверу.
С технической точки зрения, атака относится к классу CWE-434 - неограниченная загрузка файлов опасного типа. Механизм эксплуатации выглядит следующим образом: злоумышленник отправляет HTTP-запрос к функции плагина, подменяя адрес Gravatar на ссылку, ведущую к вредоносному файлу. Поскольку проверка расширения или содержимого файла отсутствует, сервер принимает и сохраняет его в директории, доступной для исполнения. После этого атакующий может обратиться к загруженному файлу через веб-браузер, что приводит к удалённому выполнению кода (Remote Code Execution) - наиболее опасному сценарию, при котором злоумышленник получает полный контроль над сервером сайта.
Последствия такой атаки могут быть катастрофическими для владельца сайта. Удалённое выполнение кода позволяет злоумышленнику не только украсть базу данных пользователей, включая хеши паролей и персональные данные, но и установить бэкдоры для долговременного доступа, изменить содержимое страниц в целях распространения вредоносного ПО, использовать сервер для рассылки спама или атак на другие ресурсы. В контексте интернет-магазинов и банковских порталов особенно опасна возможность кражи платёжных данных клиентов. Кроме того, компрометация сервера может затронуть несколько сайтов, расположенных на одном хостинге, если настройки изоляции недостаточны.
По данным Wordfence, за 24 часа после публикации информации об уязвимости было заблокировано 2822 попытки эксплуатации CVE-2026-3844. Это говорит о том, что хакеры активно сканируют сеть в поисках сайтов с уязвимой версией плагина и включённой опцией локального хранения аватаров. Специалисты по информационной безопасности рекомендуют администраторам WordPress-сайтов, использующим Breeze Cache, незамедлительно обновить плагин до версии 2.4.5 или новее, если таковая уже выпущена. На момент написания статьи обновление, скорее всего, уже доступно в репозитории WordPress, так как уязвимость была публично раскрыта 22 апреля 2026 года.
Для тех, кто по каким-либо причинам не может выполнить обновление немедленно, следует временно отключить опцию локального хранения аватаров. Кроме того, общие меры защиты включают использование межсетевого экрана для веб-приложений (Web Application Firewall) и ограничение прав доступа на запись в системные папки сервера. Данный инцидент в очередной раз напоминает о важности своевременного обновления всех компонентов сайта, особенно плагинов, имеющих доступ к файловой системе. Как правило, плагины кэширования, оптимизации изображений и создания резервных копий требуют повышенного внимания, поскольку их функциональность напрямую связана с записью и чтением файлов на сервере.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-3844
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/breeze/breeze-cache-244-unauthenticated-arbitrary-file-upload-via-fetch-gravatar-from-remote
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e342b1c0-6e7f-4e2c-8a52-018df12c12a0
- https://plugins.trac.wordpress.org/browser/breeze/tags/2.4.1/inc/class-breeze-cache-cronjobs.php#L119
- https://plugins.trac.wordpress.org/browser/breeze/tags/2.4.1/inc/class-breeze-cache-cronjobs.php#L89
- https://plugins.trac.wordpress.org/changeset/3511463/breeze
