Критическая уязвимость Breeze Cache угрожает тысячам WordPress-сайтов

В плагине Breeze Cache для WordPress обнаружена критическая уязвимость Arbitrary File Upload, затронувшая около 400 000 активных установок. Проблема уже стала объектом массовых попыток эксплуатации: атаки начались в день раскрытия информации, а межсетевой экран Wordfence за короткое время заблокировал более 30 000 попыток.

Что произошло

22 апреля 2026 года была раскрыта критическая уязвимость в плагине Breeze Cache для WordPress. Ошибка позволяет неаутентифицированным злоумышленникам загружать произвольные файлы, включая PHP-backdoors, что в конечном итоге может привести к Remote Code Execution на затронутых сайтах.

Разработчик выпустил исправленную версию плагина всего за день до публичного раскрытия информации. Однако наличие патча не остановило злоумышленников: попытки эксплуатации начались практически сразу.

Как работает уязвимость

Причина проблемы — некорректное regular expression в плагине. Оно позволяет извлекать URL не только из атрибута src тегов изображений, но и из атрибута alt.

Это дает злоумышленнику возможность манипулировать отображаемым именем комментария и внедрять вредоносный URL, указывающий на PHP-file. При обработке комментария функция fetch_gravatar_from_remote() загружает файл без проверки его типа или расширения. В результате вредоносный PHP-код может быть сохранен на сервере и затем выполнен.

Фактически это создает риск полной compromise сайта.

Что показали атаки

Данные о наблюдаемых инцидентах подтверждают, что злоумышленники активно используют уязвимость для загрузки различных вредоносных PHP-файлов. Зафиксированные POST-requests указывают на попытки загрузить файлы с URL-адресов, контролируемых атакующими.

• загрузка произвольных PHP-файлов;
• использование удаленных URL, находящихся под контролем злоумышленника;
• попытки развернуть PHP-backdoors;
• сканирование других WordPress-установок, особенно в shared hosting environments.

Некоторые из обнаруженных scripts обладают функциональностью backdoor. Они могут использоваться для дальнейшего распространения по другим сайтам и для скрытных действий в зараженной инфраструктуре.

Почему это особенно опасно

Отдельного внимания заслуживает то, что часть backdoor-scripts содержит механизмы self-destruction. Это осложняет их обнаружение и анализ. При этом такие файлы часто генерируют уникальные имена, что позволяет идентифицировать следы атаки в access logs.

Иными словами, вредоносная активность может быть заметна постфактум, но сам malware способен быстро исчезать с системы, затрудняя реагирование.

Меры защиты

Wordfence заранее подготовила защитные меры и направила их на упреждающую блокировку эксплуатации. При этом specific firewall rules были предоставлены premium users до даты раскрытия уязвимости.

Такая практика позволила снизить риск массового заражения, однако полностью угрозу не сняла: активность атакующих подтверждает высокий интерес к этой уязвимости.

Вывод

Уязвимость в Breeze Cache представляет собой серьезную угрозу для WordPress-сайтов. Ее массовая эксплуатация показывает, что даже при наличии исправления задержка с обновлением может обернуться компрометацией инфраструктуры.

Администраторам сайтов необходимо немедленно применить рекомендуемые исправления и сохранять повышенную бдительность в отношении новых попыток атак, а также регулярно проверять logs на признаки подозрительной активности.