Una vulnerabilidad crítica en el plugin Breeze Cache para WordPress permite a atacantes subir archivos arbitrarios al servidor sin autenticación, y ya está siendo explotada en la naturaleza: investigadores de seguridad han documentado intentos activos de explotación que indican escaneos automatizados y ataques dirigidos contra sitios que usan esta solución de cacheo.
El fallo, registrado como CVE-2026-3844 y calificado con una puntuación de severidad de 9.8/10, nace de una falta de validación del tipo de archivo en la función encargada de recuperar avatares remotos (“fetch_gravatar_from_remote”). Esa omisión puede permitir que un actor malicioso escriba ficheros en el servidor —por ejemplo un webshell— lo que en escenarios concretos abre la puerta a ejecución remota de código (RCE) y la toma completa del sitio. Es importante subrayar que la explotación efectiva requiere que la opción “Host Files Locally - Gravatars” esté activada, una configuración que no viene habilitada por defecto en muchas instalaciones.
Breeze Cache, distribuido por Cloudways, es un plugin popular con cientos de miles de instalaciones activas, y aunque el número exacto de sitios vulnerables depende de cuántos tengan activada la opción de hospedar gravatares localmente, los intentos observados por la comunidad de seguridad —más de un centenar según el recuento público— muestran que los atacantes buscan activamente vectores fáciles para comprometer WordPress. Los propietarios de sitios deben asumir que el riesgo es real mientras no se aplique la corrección.
Cloudways lanzó la versión 2.4.5 que corrige este problema; versiones iguales o anteriores a la 2.4.4 son las afectadas. La medida más inmediata y eficaz es aplicar la actualización del plugin en todos los sitios afectados. Si no puede actualizar de inmediato, desactive temporalmente el plugin o, como mínimo, desactive la opción “Host Files Locally - Gravatars” hasta que pueda parchear. Puede comprobar el boletín técnico y los detalles de la vulnerabilidad en el aviso del equipo de Wordfence, y revisar estadísticas del plugin en el repositorio oficial de WordPress para estimar alcance en su entorno: Wordfence – aviso técnico y página del plugin en WordPress.org.
Para administradores que gestionan múltiples sitios o entornos de hosting compartido, la respuesta debe incluir más que una actualización puntual: inspeccione inmediatamente los directorios de carga (wp-content/uploads) y cualquier carpeta temporal en busca de ficheros con extensiones sospechosas (.php u otras no esperadas), revise los logs de acceso para detectar peticiones inusuales hacia la función de gravatar y audite cambios en archivos recientes. Si hay indicios de compromiso, considere restaurar desde una copia de seguridad limpia y rotar contraseñas y claves API; la detección temprana de un webshell puede ahorrar una restauración completa.
Además de la respuesta inmediata, refuerce la superficie de ataque: aplique políticas de permisos de archivos restrictivas, limite la ejecución de PHP en directorios de subida, active un firewall de aplicación web (WAF) y considere soluciones de escaneo continuo que alerten sobre cargas sospechosas o modificaciones de archivos. La guía oficial de endurecimiento de WordPress ofrece buenas prácticas que conviene aplicar como parte de una estrategia más amplia de seguridad: Endurecimiento de WordPress.
No subestime el riesgo operativo: una explotación exitosa puede derivar en pérdida de datos, inyección de contenido malicioso para usuarios finales y sanciones si el sitio procesa datos sensibles. Si su organización usa Breeze Cache en entornos de producción, coordine la actualización en ventanas de mantenimiento controladas, comunique la acción a los responsables de seguridad y monitorice las detecciones de intrusión en las 72 horas posteriores a aplicar el parche.
En resumen, actúe ya: actualice a la versión 2.4.5 donde esté disponible, o desactive la funcionalidad de gravatares locales hasta que pueda parchear; realice una búsqueda de artefactos maliciosos y refuerce políticas de acceso y supervisión. La combinación de parcheo, detección y endurecimiento es la única manera razonable de minimizar el impacto de esta clase de vulnerabilidades en el ecosistema WordPress.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...