Raziskovalci kibernetske varnosti opozarjajo pred aktivnim izkoriščanjem kritične ranljivosti v priljubljenem vtičniku Breeze Cache za WordPress. Varnostna luknja napadalcem omogoča nalaganje poljubnih datotek na strežnik brez kakršne koli avtentikacije, kar predstavlja resno grožnjo za tisoče spletnih mest.
Vtičnik Breeze Cache, ki ga uporablja več kot 50.000 WordPressovih spletnih mest za optimizacijo hitrosti nalaganja, vsebuje ranljivost, ki jo napadalci že aktivno izkoriščajo v divjini. Težava izvira iz nepravilne validacije pri nalaganju datotek, kar napadalcem omogoča obiti varnostne mehanizme in na strežnik naložiti zlonamerne datoteke.
Ranljivost so raziskovalci varnosti označili s kritično oceno resnosti, saj ne zahteva nobenih privilegijev in je enostavna za izkoriščanje. Napadalci lahko preko te vrzeli naložijo PHP skripte ali druge izvršljive datoteke, s katerimi lahko prevzamejo popoln nadzor nad prizadetim spletnim mestom. To vključuje možnost kraje občutljivih podatkov, namestitve backdoor dostopov ali uporabe kompromitiranih strežnikov za nadaljnje napade.
Varnostni analitiki so zaznali večje število poskusov izkoriščanja te ranljivosti, kar kaže na koordinirano kampanjo. Napadalci uporabljajo avtomatizirane skripte za skeniranje ranljivih WordPressovih namestitev in poskušajo naložiti webshelle, ki jim omogočajo oddaljen dostop.
Razvijalci vtičnika so sicer že izdali varnostno posodobitev, ki odpravljajo kritično ranljivost, vendar številna spletna mesta še vedno uporabljajo ranljive različice. Strokovnjaki zato pozivajo vse uporabnike Breeze Cache, naj nemudoma posodobijo vtičnik na najnovejšo različico.
Administratorjem WordPressa priporočajo tudi pregled strežniških dnevnikov za sumljive aktivnosti v zadnjih tednih, preverjanje neobičajnih datotek v sistemskih mapah in implementacijo dodatnih varnostnih plasti, kot so požarni zidovi za spletne aplikacije (WAF). V primeru suma na kompromitacijo je priporočljiva popolna revizija sistema in morebitna ponovno namestitev iz varnostnih kopij.
Vir: https://www.bleepingcomputer.com/news/security/hackers-exploit-file-upload-bug-in-breeze-cache-wordpress-plugin/
Originalna objava: 2026-04-23
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.