Une vulnérabilité critique dans le plugin Breeze Cache pour WordPress est actuellement exploitée par des hackers. Cette faille permet de charger des fichiers arbitraires sur le serveur sans nécessiter d’authentification.
Identifiée sous le numéro CVE-2026-3844, cette faille a été observée dans plus de 170 tentatives d’exploitation, selon les données fournies par le système de sécurité Wordfence qui se spécialise dans l’écosystème WordPress.
Le plugin Breeze Cache, développé par Cloudways, compte plus de 400 000 installations actives. Son objectif principal est d’optimiser les performances et la vitesse de chargement des pages grâce à des techniques de mise en cache, d’optimisation des fichiers et de nettoyage de base de données.
La gravité de cette vulnérabilité a été évaluée à un score alarmant de 9.8 sur 10. Elle a été découverte par le chercheur en sécurité Hung Nguyen, également connu sous le pseudonyme bashu.
Des experts de l’entreprise de sécurité WordPress Defiant, qui développe Wordfence, expliquent que le problème provient d’une validation manquante des types de fichiers dans la fonction ‘fetch_gravatar_from_remote’. Cela permet à un attaquant non authentifié d’envoyer des fichiers arbitraires vers le serveur, engendrant ainsi un risque d’ exécution de code à distance (RCE) et de prise de contrôle complète du site.
Cependant, une exploitation réussie n’est possible que si l’option « Host Files Locally – Gravatars » est activée, ce qui n’est pas le paramètre par défaut, selon les chercheurs.
Cette vulnérabilité concerne toutes les versions de Breeze Cache jusqu’à la version 2.4.4 incluse. La version 2.4.5, publiée cette semaine par Cloudways, corrige cette faille.
D’après les statistiques de WordPress.org, environ 138 000 téléchargements du plugin ont eu lieu depuis la sortie de cette dernière version. Toutefois, il est difficile de déterminer combien de sites sont vulnérables, car aucune donnée sur l’activation de l’option « Host Files Locally – Gravatars » n’est disponible.
Face à l’état actuel des exploitations, il est conseillé aux propriétaires de sites ou aux administrateurs utilisant Breeze Cache pour améliorer leurs performances de mettre à jour le plugin vers la dernière version rapidement ou de le désactiver temporairement.
Si la mise à jour n’est pas envisageable dans l’immédiat, les administrateurs doivent au minimum désactiver l’option « Host Files Locally – Gravatars ».