Resumen ejecutivo
Se ha identificado una vulnerabilidad crítica en el plugin Breeze Cache, que permite la carga de archivos arbitrarios sin autenticación. Esta falla puede comprometer la seguridad de tu sitio web y exponer datos sensibles.
Fuente base de datos: Wordfence Intelligence
Breeze Cache <= 2.4.4 - Unauthenticated Arbitrary File Upload via fetch_gravatar_from_remote (subida arbitraria de archivos) - version 2.4.5
PLUGIN
CRITICAL
CVE-2026-3844
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad se encuentra en la función 'fetch_gravatar_from_remote', que no valida adecuadamente la autenticación del usuario. Esto permite a un atacante cargar archivos maliciosos directamente en el servidor a través de peticiones HTTP maliciosas.
Impacto potencial
El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar código arbitrario en el servidor, potencialmente comprometiendo la integridad del sitio web y la seguridad de los datos de los usuarios.
Vector de explotación
Generalmente, el atacante envía una solicitud HTTP manipulada a la función vulnerable, lo que resulta en la carga de un archivo no autorizado en el servidor.
Mitigación recomendada
Actualizar el plugin Breeze Cache a la versión 2.4.5 o superior para corregir la vulnerabilidad. Revisar los permisos de archivos y directorios en el servidor para minimizar el impacto de cargas no autorizadas. Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web, para detectar y bloquear intentos de explotación.
Señales de detección
Revisar los registros de acceso para detectar patrones inusuales de solicitudes a la función 'fetch_gravatar_from_remote' que no provengan de usuarios autenticados.
Alcance afectado
Las versiones afectadas son todas las anteriores a la 2.4.5 del plugin Breeze Cache. No se han confirmado casos de explotación en versiones posteriores.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
wp-google-maps
WP Go Maps < 10.0.10 - Unauthenticated Sensitive Information Disclosure via Datatables AJAX Fallback
HIGH
PLUGIN
advanced-google-recaptcha
WP Captcha PRO <= 5.38 - Authenticated (Subscriber+) Authentication Bypass via Temporary Login Link
MEDIUM
PLUGIN
event-monster
Event Monster <= 2.1.0 - Unauthenticated Insufficient Verification of Data Authenticity to Payment Bypass via em_capture_payment AJAX Action
MEDIUM
PLUGIN
learnpress
LearnPress <= 4.3.6 - Unauthenticated Sensitive Information Exposure via 'c_status' and 'return_type' Parameters
MEDIUM
PLUGIN
essential-addons-for-elementor-lite
Essential Addons for Elementor <= 6.6.4 - Missing Authorization to Unauthenticated Information Exposure via 'load_more' AJAX Handler
MEDIUM
PLUGIN
mappress-google-maps-for-wordpress
MapPress Maps for WordPress <= 2.96.6 - Unauthenticated Insecure Direct Object Reference via REST API Endpoints
MEDIUM
PLUGIN
debug-log-manager
Debug Log Manager <= 2.5.0 - Unauthenticated Improper Output Neutralization for Logs via log_js_errors AJAX Action
HIGH
PLUGIN
sp-client-document-manager
SP Project & Document Manager <= 4.71 - Missing Authorization to Unauthenticated Arbitrary File Information Disclosure via view_file() Function
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto