Peretas Eksploitasi Bug Unggah Fail Berbahaya di Plugin WordPress Breeze Cache
Peretas saat ini dilaporkan sedang secara aktif mengeksploitasi kerentanan kritis dalam plugin Breeze Cache untuk WordPress. Celah ini memungkinkan penyerang untuk mengunggah fail arbitrer ke peladen (server) tanpa memerlukan autentikasi apa pun.
Masalah keamanan yang dilacak sebagai CVE-2026-3844 ini telah dimanfaatkan dalam lebih dari 170 upaya eksploitasi yang berhasil diblokir oleh solusi keamanan Wordfence.
Breeze Cache, plugin caching WordPress populer yang dikembangkan oleh Cloudways, saat ini memiliki lebih dari 400.000 instalasi aktif. Plugin ini dirancang untuk meningkatkan performa dan kecepatan pemuatan situs dengan mengurangi frekuensi pemuatan halaman melalui caching, optimasi fail, dan pembersihan basis data.
Akar Masalah dan Dampak Kritis
Kerentanan ini mendapat skor keparahan kritis 9,8 dari 10 dan pertama kali ditemukan serta dilaporkan oleh peneliti keamanan Hung Nguyen (bashu).
Para peneliti di perusahaan keamanan WordPress, Defiant (pengembang Wordfence), menjelaskan bahwa akar masalah bermula dari tidak adanya validasi jenis fail (file-type validation) pada fungsi fetch_gravatar_from_remote.
Kelemahan ini memberikan jalan bagi penyerang yang tidak terautentikasi untuk mengunggah fail berbahaya ke server. Dampaknya sangat fatal: penyerang dapat memicu Eksekusi Kode Jarak Jauh (Remote Code Execution/RCE) dan pada akhirnya mengambil alih situs web secara utuh.
Meskipun ancamannya sangat besar, para peneliti menggarisbawahi bahwa eksploitasi ini hanya dapat berhasil jika fitur tambahan “Host Files Locally – Gravatars” diaktifkan oleh pengguna. Untungnya, fitur ini tidak aktif secara bawaan (default).
Langkah Mitigasi Segera
Kerentanan CVE-2026-3844 memengaruhi semua versi Breeze Cache hingga versi 2.4.4. Pihak Cloudways telah bertindak cepat dan menambal celah ini pada versi 2.4.5 yang dirilis pada awal minggu ini.
Menurut statistik dari WordPress.org, plugin tersebut telah diunduh sekitar 138.000 kali sejak rilis versi terbarunya. Namun, tidak diketahui secara pasti berapa banyak situs web yang saat ini masih rentan, mengingat tidak ada data publik mengenai jumlah situs yang mengaktifkan fitur Host Files Locally – Gravatars.
Mengingat statusnya yang sedang dieksploitasi secara aktif, para pemilik atau administrator situs web yang mengandalkan Breeze Cache sangat disarankan untuk mengambil langkah berikut:
- Perbarui Segera: Segera perbarui plugin ke versi 2.4.5 atau yang lebih baru.
- Nonaktifkan Sementara: Jika pembaruan tidak memungkinkan saat ini, administrator harus memastikan bahwa opsi “Host Files Locally – Gravatars” telah dinonaktifkan di pengaturan plugin, atau menonaktifkan plugin Breeze Cache secara keseluruhan hingga pembaruan dapat dilakukan.
