Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de WordPress-plug-in Breeze Cache om websites aan te vallen. Een update voor het beveiligingslek is sinds 21 april beschikbaar, maar vele tienduizenden WordPress-sites hebben die nog niet geïnstalleerd. Daarnaast maakt de ontwikkelaar in de release notes geen duidelijke melding van het probleem.

Breeze Cache is een 'caching plug-in' die de prestaties van WordPress-sites moet verbeteren, zodat die sneller bij gebruikers worden geladen. De plug-in is op meer dan 400.000 websites actief. Een kritieke kwetsbaarheid in de plug-in zorgt ervoor dat aanvallers, door het plaatsen van een reactie met een speciaal geprepareerde gebruikersnaam, willekeurige bestanden naar de webserver kunnen uploaden. Het kan dan gaan om PHP-backdoors wat tot remote code execution mogelijk leidt, aldus securitybedrijf Wordfence.

Het kwetsbare onderdeel van de plug-in, 'Host Files Locally - Gravatars', staat niet standaard ingeschakeld. De leverancier van de plug-in kwam op 21 april met een beveiligingsupdate. In de release notes wordt het probleem niet duidelijk vermeld. Er staat alleen 'Enhanced Gravatar handling by enforcing official sources only, ensuring only valid images are cached.' Wordfence maakte het bestaan van de kwetsbaarheid op 22 april bekend en op dezelfde dag vond volgens het securitybedrijf al misbruik plaats. Hoeveel websites via het lek zijn gehackt is onduidelijk. Wel blijkt uit cijfers van Wordfence dat vele tienduizenden WordPress-sites de update missen.