Uma vulnerabilidade crítica no plugin Breeze Cache para o WordPress permite que os atacantes aumentem arquivos arbitrários para o servidor sem autenticação, e já está sendo explorada na natureza: pesquisadores de segurança documentaram tentativas ativos de exploração que indicam digitalização automatizada e ataques direcionados contra sites que usam esta solução de cache.
O erro, registrado como CVE-2026-3844 e qualificado com pontuação de severidade de 9.8/10, nasce de uma falta de validação do tipo de arquivo na função encarregada de recuperar avatares remotos (“fetch_gravatar_from_remote”). Essa omissão pode permitir que um ator malicioso escreva arquivos no servidor - por exemplo um webshell - o que em cenários concretos abre a porta para execução remota de código (RCE) e a toma completa do site. É importante sublinhar que a exploração eficaz requer que a opção “Host Files Locally - Gravatars” esteja ativada, uma configuração que não vem habilitada por defeito em muitas instalações.
Breeze Cache, distribuído pela Cloudways, é um plugin popular com centenas de milhares de instalações ativas, e embora o número exato de sites vulneráveis esteja dependente de quantos tenham ativado a opção de hospedar tributares localmente, as tentativas observadas pela comunidade de segurança – mais de uma centena de acordo com a contagem pública – mostram que os atacantes procuram ativamente vetores fáceis para comprometer o WordPress. Os proprietários de sites devem assumir que o risco é real enquanto não se aplica a correção.
Cloudways lançou a versão 2.4.5 que corrige este problema; versões iguais ou anteriores à 2.4.4 são as afectadas. A medida mais imediata e eficaz é aplicar a atualização do plugin em todos os sites afetados. Se não puder actualizar imediatamente, desactive temporariamente o plugin ou, no mínimo, desactive a opção “Host Files Locally - Gravatars” até que possa adesivo. Você pode verificar o boletim técnico e detalhes da vulnerabilidade no aviso da equipe do Wordfence e revisar estatísticas do plugin no repositório oficial do WordPress para estimar alcance em seu ambiente: Wordfence – Aviso Técnico e página do plugin no WordPress.org.
Para administradores que gerem múltiplos sites ou ambientes de hospedagem partilhados, a resposta deve incluir mais do que uma atualização pontual: inspecione imediatamente as pastas de carga (wp-content/uploads) e qualquer pasta temporária em busca de arquivos com extensões suspeitas (.php ou outras não esperadas), verifique os logs de acesso para detectar pedidos incomuns para a função de gravatar e audite mudanças em arquivos recentes. Se houver indícios de compromisso, considere restaurar a partir de uma cópia de segurança limpa e rodar senhas e chaves API; a detecção precoce de um webshell pode poupar uma recuperação completa.
Além da resposta imediata, reforce a superfície de ataque: aplique políticas de permissões de arquivos restritivas, limite a execução do PHP em diretórios de subida, active um firewall de aplicação web (WAF) e considere soluções de digitalização contínua que alertem sobre cargas suspeitas ou modificações de arquivos. O guia oficial de endurecimento do WordPress oferece boas práticas que convém aplicar como parte de uma estratégia mais ampla de segurança: Endurecimento do WordPress.
Não subestime o risco operacional: uma exploração bem-sucedida pode resultar em perda de dados, injeção de conteúdo malicioso para usuários finais e sanções se o site processar dados sensíveis. Se a sua organização usar Breeze Cache em ambientes de produção, coordene a atualização em janelas de manutenção controladas, comunique a ação aos responsáveis pela segurança e monitorize as detecções de intrusão em 72 horas após a aplicação do adesivo.
Em resumo, actue já: atualize a versão 2.4.5 onde está disponível, ou desactive a funcionalidade de tributares locais até que possa adesivo; faça uma busca de artefatos maliciosos e reforce políticas de acesso e supervisão. A combinação de adesivos, detecção e endurecimento é a única maneira razoável de minimizar o impacto desta classe de vulnerabilidades no ecossistema WordPress.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...