Peretas secara aktif mengeksploitasi kerentanan kritis pada plugin Breeze Cache untuk WordPress yang memungkinkan pengunggahan file sewenang-wenang di server tanpa otentikasi.
Masalah keamanan dilacak sebagai CVE-2026-3844 dan telah dimanfaatkan dalam lebih dari 170 upaya eksploitasi oleh solusi keamanan Wordfence untuk ekosistem WordPress.
Plugin caching WordPress Breeze Cache dari Cloudways memiliki lebih dari 400.000 instalasi aktif dan dirancang untuk meningkatkan kinerja dan kecepatan pemuatan dengan mengurangi frekuensi pemuatan halaman melalui caching, pengoptimalan file, dan pembersihan basis data.
Kerentanan menerima skor tingkat keparahan kritis 9,8 dari 10 dan ditemukan serta dilaporkan oleh peneliti keamanan Hung Nguyen (bashu).
Para peneliti di perusahaan keamanan WordPress Defiant, pengembang Wordfence, mengatakan bahwa masalahnya berasal dari hilangnya validasi jenis file di fungsi ‘fetch_gravatar_from_remote’.
Hal ini memungkinkan penyerang yang tidak diautentikasi untuk mengunggah file sewenang-wenang ke server, yang dapat menyebabkan eksekusi kode jarak jauh (RCE) dan pengambilalihan situs web sepenuhnya.
Namun, eksploitasi yang berhasil hanya mungkin terjadi jika add-on “Host Files Locally – Gravatars” diaktifkan, yang bukan merupakan keadaan default, kata peneliti.
CVE-2026-3844 memengaruhi semua versi Breeze Cache hingga dan termasuk 2.4.4. Cloudways memperbaiki kekurangan pada versi 2.4.5, yang dirilis awal pekan ini.
Menurut statistik dari WordPress.orgplugin ini telah diunduh sekitar 138.000 sejak rilis versi terbaru. Namun tidak jelas berapa banyak situs web yang rentan, karena tidak ada data mengenai jumlah yang mengaktifkan File Host Lokal – Gravatars.
Mengingat status eksploitasi aktif, pemilik/admin situs web yang mengandalkan Breeze Cache untuk meningkatkan kinerja disarankan untuk meningkatkan ke versi terbaru plugin sesegera mungkin atau menonaktifkannya untuk sementara.
Jika pemutakhiran saat ini tidak memungkinkan, admin setidaknya harus menonaktifkan “File Host Lokal – Gravatars.”
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
