黑客利用 Breeze Cache 插件漏洞(CVE-2026-3844)发起攻击,超 40 万个网站面临安全风险

威胁团伙正在利用CVE-2026-3844高危漏洞（CVSS 评分 9.8）攻击 Breeze Cache WordPress 插件，该漏洞允许攻击者无需身份认证即可向服务器上传文件。安全厂商 Wordfence 已监测到针对此漏洞的攻击行为超 170 次。

Breeze Cache 是云托管厂商 Cloudways 推出的免费 WordPress 缓存插件，用于优化网站访问速度与运行性能。功能包含页面缓存、浏览器缓存、文件压缩、Gzip 压缩及 CDN 对接，可有效缩短页面加载时间、优化网站整体分发效率，目前全球已有超 40 万个网站部署该插件。此漏洞由安全研究员 Hung Nguyen（bashu）发现。

Wordfence 发布的报告指出：“WordPress Breeze Cache 插件 2.4.4 及更早所有版本中，fetch_gravatar_from_remote 函数缺少文件类型校验，存在任意文件上传漏洞。未授权攻击者可借此向受影响网站服务器上传恶意文件，进而实现远程代码执行。该漏洞仅在开启「本地托管 Gravatar 头像」功能时可被利用，该选项默认处于关闭状态。”

Wordfence 研究人员表示，该缺陷根源在于fetch_gravatar_from_remote函数未做文件类型校验，致使无认证攻击者可上传任意文件，最终引发远程代码执行、网站完全沦陷接管等严重后果。根据安全公告，漏洞利用的前提是手动开启「Host Files Locally – Gravatars」配置项。漏洞影响 2.4.4 及以下版本，官方已于 2.4.5 版本完成修复。

鉴于该漏洞已被野外活跃利用，Breeze Cache 用户需立即升级至最新版本，或临时禁用该插件以规避风险。

截至撰稿时，Wordfence 数据显示，过去 24 小时内已拦截3936 起针对该漏洞的攻击行为。