Thought Leadership
Eine kritische Lücke im WordPress-Plugin Breeze Cache ermöglicht Website-Übernahmen. Über 400.000 Installationen sind betroffen.
Das Ökosystem von WordPress steht erneut vor einer ernsten Sicherheitsherausforderung. Experten warnen vor einer kritischen Schwachstelle in einem der meistgenutzten Performance-Tools für das weltweit führende Content-Management-System, wie Bleeping Computer berichtet. Betroffen ist das Caching-Plugin Breeze Cache, das vom bekannten Hosting-Anbieter Cloudways entwickelt wurde. Mit über 400.000 aktiven Installationen gehört das Plugin zur Standardausrüstung vieler Webmaster, die die Ladezeiten ihrer Seiten optimieren wollen. Doch genau dieses Werkzeug wird nun zum Einfallstor für Cyberkriminelle, die versuchen, die vollständige Kontrolle über fremde Webserver zu erlangen.
Die als CVE-2026-3844 registrierte Sicherheitslücke hat eine Einstufung von 9,8 auf der CVSS-Skala erhalten, was sie als kritisch markiert. Der Kern des Problems ist ein Fehler beim Hochladen von Dateien, der es nicht authentifizierten Angreifern ermöglicht, schädlichen Code auf den Server zu schleusen. Entdeckt wurde der Bug von dem Sicherheitsforscher Hung Nguyen, der unter dem Namen bashu agiert. Da für einen erfolgreichen Angriff keine Administratorrechte oder gar ein Benutzerkonto auf der Zielseite erforderlich sind, ist das Risiko für betroffene WordPress-Seiten extrem hoch.
Technische Hintergründe der Sicherheitslücke
Die detaillierte Analyse der Sicherheitsfirma Defiant, die das bekannte Schutz-Tool Wordfence betreibt, zeigt auf, wo genau der Fehler im Code von Wordpress liegt. Das Problem findet sich in einer Funktion namens fetch_gravatar_from_remote. Diese Komponente ist eigentlich dafür gedacht, Profilbilder des Dienstes Gravatar von externen Servern herunterzuladen und lokal auf dem eigenen Webserver zu speichern. Dies soll die Ladezeiten verkürzen und gleichzeitig die Einhaltung von Datenschutzrichtlinien wie der DSGVO erleichtern, da keine direkten Anfragen an externe Server mehr erfolgen müssen.
Allerdings unterließen es die Entwickler bei der Implementierung dieser Funktion, eine ausreichende Validierung der Dateitypen durchzuführen. Das Plugin prüft beim Herunterladen der vermeintlichen Bilddatei nicht strikt genug, ob es sich tatsächlich um ein harmloses Bild handelt. Hacker können diesen Umstand ausnutzen, um dem Server eine bösartige Datei, beispielsweise ein präpariertes PHP-Skript, als Bilddatei getarnt unterzuschieben. Sobald dieses Skript auf dem Server liegt, kann es vom Hacker über eine einfache URL aufgerufen werden. Dies führt zu einer Remote Code Execution (RCE), also der Ausführung von beliebigem Programmiercode auf dem Server des Opfers.
Voraussetzungen für einen erfolgreichen Angriff
Es gibt jedoch einen wichtigen Faktor, der die potenzielle Anzahl der Opfer einschränkt. Die Forscher weisen darauf hin, dass die Schwachstelle nur dann aktiv ausgenutzt werden kann, wenn eine ganz bestimmte Einstellung im Plugin aktiviert ist. Es handelt sich um das Add-on Host Files Locally – Gravatars. In der Standardkonfiguration von Breeze Cache ist dieses Feature deaktiviert. Dennoch nutzen viele erfahrene WordPress-Administratoren genau diese Funktion, um die Performance zu steigern. Für diese Nutzergruppe besteht akuter Handlungsbedarf.
Aktuelle Bedrohungslage
Die Gefahr ist keinesfalls nur theoretisch. Laut Daten von Wordfence wurden bereits über 170 Versuche registriert, die Schwachstelle aktiv auszunutzen. Dies deutet darauf hin, dass Hacker automatisierte Scripte einsetzen, um das Internet nach verwundbaren WordPress-Installationen abzusuchen. Da die technischen Details nun bekannt sind, ist in den kommenden Tagen mit einer massiven Zunahme der Angriffsversuche zu rechnen.
Breeze Cache ist primär darauf ausgelegt, Datenbanken zu bereinigen, Dateien zu minimieren und die Auslieferung von Inhalten durch Caching zu beschleunigen. Dass ausgerechnet ein Performance-Modul eine so gravierende Lücke aufweist, zeigt erneut, wie komplex die Absicherung von WordPress-Plugins ist. Jede zusätzliche Funktion, die mit externen Schnittstellen kommuniziert, vergrößert potenziell die Angriffsfläche.
Handlungsempfehlungen für Administratoren in WordPress
Der Entwickler Cloudways hat bereits reagiert und Anfang dieser Woche die bereinigte Version 2.4.5 veröffentlicht. Alle älteren Versionen des Plugins bis einschließlich 2.4.4 gelten als unsicher. Aktuelle Statistiken zeigen, dass das Update zwar bereits etwa 138.000 Mal heruntergeladen wurde, jedoch ein Großteil der über 400.000 Installationen vermutlich noch auf dem alten Stand ist.
Administratoren sollten umgehend ihr WordPress-Dashboard aufrufen und prüfen, welche Version von Breeze Cache installiert ist. Ein Update auf die Version 2.4.5 oder höher schließt die Sicherheitslücke zuverlässig. Falls ein sofortiges Update nicht möglich sein sollte, wird dringend empfohlen, das Plugin vorübergehend zu deaktivieren. Als absolute Mindestmaßnahme müssen Webmaster sicherstellen, dass die Funktion Host Files Locally – Gravatars in den Einstellungen des Plugins ausgeschaltet ist.
Darüber hinaus empfiehlt es sich für Betroffene, die Logdateien des Webservers auf verdächtige Aktivitäten zu untersuchen. Besonderes Augenmerk sollte dabei auf dem Upload-Verzeichnis liegen, das Breeze Cache für die Gravatare nutzt. Finden sich dort Dateien mit PHP-Endung oder ungewöhnlichen Zeichenfolgen, könnte die Seite bereits kompromittiert worden sein. In einem solchen Fall ist eine umfassende Bereinigung der WordPress-Installation sowie eine Änderung aller Passwörter für FTP, Datenbank und Administrator-Accounts unumgänglich. Der Vorfall mahnt erneut zur Vorsicht bei der Verwendung von Plugins und zur Bedeutung regelmäßiger Sicherheitsupdates im professionellen Webbetrieb.
