ハッカーがBreeze Cache WordPressプラグインのファイルアップロードバグを悪用

ハッカーは現在、認証なしにサーバへの任意のファイルアップロードを可能にするBreeze CacheプラグインのWordPressの重大な脆弱性を積極的に悪用しています。

このセキュリティ問題はCVE-2026-3844として追跡されており、WordPressエコシステムのWordfenceセキュリティソリューションによって170以上の悪用企図で活用されています。

CloudwaysのBreeze Cache WordPressキャッシングプラグインは40万以上のアクティブなインストールがあり、キャッシング、ファイル最適化、データベースクリーンアップを通じてページロード頻度を削減することでパフォーマンスと読み込み速度を向上させるように設計されています。

この脆弱性は10点中9.8という重大度スコアを受け、セキュリティ研究者Hung Nguyen（bashu）によって発見・報告されました。

Wordfenceの開発者であるWordPressセキュリティ企業Defiantの研究者によると、この問題は’fetch_gravatar_from_remote’関数のファイルタイプ検証の欠落に由来していると述べています。

これにより、認証されていない攻撃者がサーバに任意のファイルをアップロードでき、リモートコード実行（RCE）と完全なウェブサイト乗っ取りにつながる可能性があります。

しかし、成功した悪用は「Host Files Locally – Gravatars」アドオンがオンの場合のみ可能であり、これはデフォルト状態ではないと研究者は述べています。

CVE-2026-3844はバージョン2.4.4までのすべてのBreeze Cacheバージョンに影響します。Cloudwaysは今週初めにリリースされたバージョン2.4.5でこの欠陥を修正しました。

WordPress.orgの統計によると、プラグインは最新バージョンのリリース以来およそ138,000回のダウンロードがあります。しかし、Host Files Locally – Gravatarsが有効になっているサイト数についてのデータがないため、どのサイトが脆弱なのかは不明です。

積極的な悪用状況を考えると、パフォーマンスを向上させるためにBreeze Cacheに依存するウェブサイトのオーナー/管理者は、できるだけ早くプラグインを最新バージョンにアップグレードするか、一時的に無効にすることをお勧めします。

アップグレードが現在できない場合、管理者は最低でも「Host Files Locally – Gravatars」を無効にすべきです。