CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-3844

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Breeze Cache dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'fetch_gravatar_from_remote' we wszystkich wersjach do 2.4.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

Risk Assessment

Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa serwera i danych organizacji. Atakujący mogą wykorzystać tę lukę, jeśli opcja 'Host Files Locally - Gravatars' jest włączona.

Recommendation

Zaleca się zaktualizowanie wtyczki Breeze Cache do najnowszej wersji oraz wyłączenie opcji 'Host Files Locally - Gravatars', aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

The Breeze Cache plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the 'fetch_gravatar_from_remote' function in all versions up to, and including, 2.4.4. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible. The vulnerability can only be exploited if "Host Files Locally - Gravatars" is enabled, which is disabled by default.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS