CVE-2026-3844 : faille critique Breeze Cache, 400 000 sites WordPress exposés

Le lundi 23 juin 2026, les équipes de sécurité de Wordfence ont publié un rapport qui a rapidement fait le tour des fils d’alerte de milliers d’hébergeurs WordPress : 3 936 tentatives d’exploitation bloquées en 24 heures contre le plugin Breeze Cache, développé et maintenu par Cloudways. La faille en question, répertoriée sous l’identifiant CVE-2026-3844, a reçu un score CVSS de 9,8 sur 10 — critique. Elle permet à n’importe qui sur internet, sans aucune authentification, de téléverser un fichier PHP arbitraire sur un serveur WordPress et d’en prendre le contrôle total. Environ 400 000 sites actifs tournaient encore sur une version vulnérable au moment de la divulgation publique.

Ce n’est pas la première fois qu’un plugin de cache très répandu devient le vecteur d’une compromission massive. En 2026, le modèle se répète : un composant perçu comme purement « technique », sans surface d’attaque visible pour l’administrateur, dissimule une vulnérabilité béante côté serveur. CVE-2026-3844 illustre parfaitement pourquoi la mise à jour des plugins doit être considérée comme une priorité absolue — au même titre que la mise à jour du système d’exploitation.

Cet article vous donne tout ce qu’il faut savoir : anatomie de la faille, mécanisme d’exploitation, procédure de mise à jour, vérification de compromission et durcissement post-patch. Si vous utilisez Breeze Cache, lisez ce guide avant de faire quoi que ce soit d’autre.

Breeze Cache : un plugin très répandu sur l’écosystème Cloudways

Breeze est le plugin de cache officiel développé par Cloudways, l’un des hébergeurs WordPress managés les plus populaires au monde, racheté par DigitalOcean en 2022. Le plugin est installé sur plus de 400 000 sites actifs selon les statistiques WordPress.org, avec une note de 4,3/5 sur plus de 600 évaluations.

Son rôle est classique : générer des pages HTML statiques pour réduire les requêtes PHP et MySQL, compresser CSS/JS, différer le chargement des scripts. Depuis la version 2.0, il embarque une fonctionnalité optionnelle baptisée « Host Files Locally — Gravatars », qui télécharge les avatars Gravatar depuis les serveurs de WordPress.com et les héberge localement pour améliorer les performances et la conformité RGPD. C’est précisément cette fonctionnalité qui contient la vulnérabilité.

Le plugin est particulièrement populaire parmi les développeurs qui hébergent leurs clients sur Cloudways, où il est pré-installé dans certaines configurations par défaut. Beaucoup d’agences web gèrent des dizaines, voire des centaines de sites avec Breeze — ce qui transforme chaque installation non mise à jour en point d’entrée potentiel pour un attaquant.

Anatomie de CVE-2026-3844 : le bug dans fetch_gravatar_from_remote

La vulnérabilité CVE-2026-3844 est classée CWE-434 : Unrestricted Upload of File with Dangerous Type. Elle réside dans la fonction fetch_gravatar_from_remote(), localisée dans le fichier inc/class-breeze-cache-cronjobs.php.

Cette fonction est chargée de télécharger les avatars Gravatar depuis une URL distante et de les stocker dans le répertoire /wp-content/cache/breeze-extra/gravatars/ sur le serveur local. Le problème fondamental : aucune validation n’est effectuée sur le fichier téléchargé — ni sur le type MIME, ni sur l’extension, ni sur le contenu. La fonction accepte aveuglément ce que l’URL distante lui renvoie, puis l’écrit sur le disque avec le nom de fichier extrait de l’URL.

Voici une version simplifiée du code vulnérable pour illustrer l’absence de garde-fous :

# Code simplifié du comportement vulnérable (Breeze Cache <= 2.4.4)
# Fichier : inc/class-breeze-cache-cronjobs.php

function fetch_gravatar_from_remote( $gravatar_url ) {
    // Aucune validation du domaine source
    $response = wp_remote_get( $gravatar_url );

    if ( is_wp_error( $response ) ) {
        return false;
    }

    $body = wp_remote_retrieve_body( $response );

    // Extraction du nom de fichier depuis l'URL (controllable par l'attaquant)
    $filename = basename( parse_url( $gravatar_url, PHP_URL_PATH ) );

    // Aucune vérification de l'extension (.php, .phtml, .php7...)
    // Aucune vérification du Content-Type
    // Aucune inspection du contenu
    $local_path = BREEZE_CACHE_DIR . 'gravatars/' . $filename;

    // Ecriture directe du fichier sur le disque, accessible via HTTP
    file_put_contents( $local_path, $body );

    return $local_path;
}

Un attaquant qui contrôle l’URL source peut donc pointer la fonction vers son propre serveur, servir un webshell PHP sous un nom comme shell.php, et le faire écrire directement dans un répertoire web-accessible. Une seule requête HTTP suffit pour déposer le backdoor.

Le scénario d’exploitation pas à pas

Le chercheur en sécurité Hung Nguyen, alias « bashu », qui a découvert et signalé la faille à Cloudways, a documenté la chaîne d’exploitation complète. Voici comment un attaquant procède concrètement :

Étape 1 — Reconnaissance. L’attaquant identifie les sites qui utilisent Breeze Cache via des outils de fingerprinting passif (analyse des en-têtes HTTP X-Cache, structure des URLs de ressources statiques, commentaires HTML). Des scanners automatisés ciblent en masse les sites WordPress en scrutant les métadonnées des plugins exposées dans /wp-content/plugins/breeze/readme.txt.

Étape 2 — Vérification de la configuration vulnérable. L’option « Host Files Locally — Gravatars » doit être activée. Elle n’est pas activée par défaut, mais elle est recommandée dans de nombreux tutoriels de performance WordPress, ce qui explique qu’une fraction significative des 400 000 installations soit concernée.

Étape 3 — Dépôt du webshell. L’attaquant manipule le paramètre de l’URL Gravatar pour pointer vers un serveur qu’il contrôle, hébergeant un fichier shell.php contenant un webshell minimal :

# Webshell minimaliste typiquement utilisé dans ces attaques
# (à titre documentaire uniquement)
<?php
if ( isset( $_REQUEST['cmd'] ) ) {
    $cmd = htmlspecialchars( shell_exec( $_REQUEST['cmd'] ) );
    echo "<pre>{$cmd}</pre>";
}
?>

Une fois le fichier écrit dans /wp-content/cache/breeze-extra/gravatars/shell.php, l’attaquant n’a plus qu’à y accéder via son navigateur et passer des commandes systèmes. La compromission est totale : lecture de wp-config.php, dump de la base de données, installation d’un backdoor persistant, pivotement vers d’autres sites sur le même serveur mutualisé.

Étape 4 — Persistance. Les attaquants avancés installent ensuite des backdoors secondaires dans wp-content/uploads/ ou modifient les fichiers core de WordPress pour assurer leur accès même après la mise à jour du plugin.

Vérifier votre version et appliquer le patch en urgence

Cloudways a publié la version Breeze Cache 2.4.5 qui corrige la vulnérabilité en ajoutant une validation stricte du type MIME et de l’extension avant toute écriture sur le disque. Le patch introduit une liste blanche d’extensions autorisées (.jpg, .jpeg, .png, .gif, .webp) et vérifie le Content-Type de la réponse HTTP distante.

Voici la procédure de mise à jour via WP-CLI, l’outil de ligne de commande WordPress :

# 1. Vérifier la version installée
wp plugin get breeze --fields=name,version,status

# 2. Mettre à jour vers la version 2.4.5 (ou plus récente)
wp plugin update breeze

# 3. Confirmer la mise à jour
wp plugin get breeze --fields=name,version
# Attendu : version 2.4.5 ou supérieure

# 4. Vider le cache du plugin après mise à jour
wp cache flush

# 5. Si vous utilisez LiteSpeed Cache ou W3TC en parallèle
wp litespeed-purge all  # si LiteSpeed Cache installé

Si vous n’avez pas accès à WP-CLI, la mise à jour se fait depuis le tableau de bord WordPress : Extensions → Mises à jour disponibles → Breeze → Mettre à jour maintenant.

Si vous souhaitez désactiver temporairement la fonctionnalité vulnérable sans mettre à jour le plugin (mesure d’atténuation rapide) : Réglages → Breeze → CDN & Media → décocher « Host Files Locally — Gravatars ». Cela supprime immédiatement le vecteur d’attaque sans affecter les autres fonctionnalités de cache.

Détecter une compromission : les indicateurs à surveiller

Si votre site tournait sur une version vulnérable de Breeze Cache avec l’option Gravatar activée, vous devez vérifier activement les traces d’une exploitation. Voici les commandes à exécuter en SSH sur votre serveur :

# Chercher des fichiers PHP dans le répertoire Gravatar (signe de compromission)
find /var/www/html/wp-content/cache/breeze-extra/gravatars/ 
     -name "*.php" -o -name "*.phtml" -o -name "*.php7" 
     -o -name "*.php5" -o -name "*.phar" 2>/dev/null

# Chercher des webshells connus dans tout le répertoire cache
grep -r "shell_exec|passthru|system(|eval(base64" 
     /var/www/html/wp-content/cache/ --include="*.php"

# Vérifier les modifications récentes (dernières 7 jours) dans wp-content
find /var/www/html/wp-content/ 
     -newer /var/www/html/wp-config.php 
     -name "*.php" 
     -not -path "*/plugins/*" 
     -not -path "*/themes/*" 2>/dev/null | head -30

# Analyser les logs Apache/Nginx pour des requêtes vers /gravatars/*.php
grep -E "/cache/breeze-extra/gravatars/.*.php" 
     /var/log/apache2/access.log 2>/dev/null
grep -E "/cache/breeze-extra/gravatars/.*.php" 
     /var/log/nginx/access.log 2>/dev/null

Si vous trouvez des fichiers PHP dans le répertoire gravatars/, considérez votre site comme compromis. La procédure de remédiation complète implique alors : (1) mise hors ligne du site immédiate, (2) backup complet de la base de données, (3) audit des fichiers modifiés, (4) réinstallation propre de WordPress depuis les sources officielles, (5) changement de tous les mots de passe (WordPress, FTP, base de données, hébergeur), (6) notification de votre hébergeur.

Ce que CVE-2026-3844 révèle sur la sécurité des plugins WordPress en 2026

CVE-2026-3844 s’inscrit dans une tendance alarmante. En 2026, les plugins WordPress sont devenus le premier vecteur d’attaque sur les sites CMS devant les attaques par force brute sur les comptes administrateurs. Selon les données de Wordfence publiées en mai 2026, 97 % des compromissions WordPress impliquent une faille dans un plugin ou un thème tiers — et non dans le core WordPress lui-même.

Ce qui rend CVE-2026-3844 particulièrement préoccupante, c’est son origine : un plugin développé par un hébergeur majeur, pas un développeur indépendant. Cloudways a les ressources pour maintenir un pipeline de sécurité robuste, avec des audits de code réguliers et des processus de disclosure coordonnée. Pourtant, une fonction téléchargeant des fichiers depuis internet vers un répertoire web-accessible n’a fait l’objet d’aucune validation d’entrée. Cela soulève des questions sur les pratiques de revue de code dans l’ensemble de l’écosystème WordPress.

La leçon à retenir pour les développeurs et les administrateurs : toute fonctionnalité qui télécharge des fichiers distants et les écrit sur le disque est une surface d’attaque à haut risque. Les règles de base — validation du Content-Type, liste blanche d’extensions, stockage hors de la racine web ou avec un .htaccess interdisant l’exécution PHP — ne sont pas optionnelles. Elles sont la norme minimale.

Pour aller plus loin dans la sécurisation de votre WordPress, consultez notre guide sur la mise en place d’un WAF, des headers de sécurité et d’une Content Security Policy. Nous avons également documenté les vulnérabilités critiques dans King Addons et W3 Total Cache publiées en mai 2026, qui suivent le même schéma. Enfin, la menace des attaques supply chain sur les plugins WordPress est un contexte essentiel pour comprendre pourquoi le suivi des CVE doit faire partie de votre routine de maintenance.

Plan de durcissement post-patch : cinq mesures complémentaires

Mettre à jour Breeze Cache vers la version 2.4.5 est le premier geste — mais pas le dernier. Voici cinq mesures de durcissement complémentaires à déployer immédiatement :

1. Bloquer l’exécution PHP dans les répertoires de cache. Ajoutez un fichier .htaccess dans /wp-content/cache/ pour empêcher l’exécution de scripts PHP, même si un fichier malveillant était écrit à l’avenir :

# /wp-content/cache/.htaccess — bloquer l'exécution PHP dans tout le cache
<FilesMatch ".ph(p[2-9]?|tml|ar)$">
    Order Allow,Deny
    Deny from all
</FilesMatch>

# Pour Apache 2.4+
<FilesMatch ".ph(p[2-9]?|tml|ar)$">
    Require all denied
</FilesMatch>

2. Activer un plugin de surveillance d’intégrité de fichiers. Wordfence (version gratuite suffit) ou iThemes Security peuvent détecter toute modification non autorisée des fichiers WordPress et vous alerter par email en temps réel.

3. Limiter les droits d’écriture du processus web. Le répertoire wp-content/cache/ doit appartenir à l’utilisateur web (www-data ou équivalent) mais les répertoires en dehors de wp-content/uploads/ et wp-content/cache/ ne devraient pas être inscriptibles par le processus PHP en production.

4. Configurer un Web Application Firewall (WAF). Cloudflare (plan gratuit), Sucuri ou Wordfence Premium bloquent les requêtes d’exploitation connues avant qu’elles n’atteignent votre serveur. Les signatures pour CVE-2026-3844 sont déjà déployées chez les principaux fournisseurs.

5. Automatiser les mises à jour de sécurité. Activez les mises à jour automatiques pour les plugins marqués « security release » dans wp-config.php ou via le dashboard WordPress. Le délai entre la publication d’un patch et l’exploitation massive d’une faille se réduit à quelques jours en 2026.

Conclusion : l’urgence de la patch management en 2026

CVE-2026-3844 est un cas d’école de ce que les équipes de sécurité appellent un n-day : une vulnérabilité avec patch disponible mais massivement exploitée car trop peu d’administrateurs ont mis à jour à temps. Avec un score CVSS de 9,8, une exploitation sans authentification, et 400 000 sites potentiellement exposés, cette faille rejoint le panthéon des CVE WordPress à ne pas ignorer.

La question n’est pas de savoir si votre site sera ciblé, mais quand. Les scanners automatisés tournent en continu sur internet, cherchant exactement ce type de point d’entrée. Dans ce contexte, la maintenance proactive des plugins n’est plus une option — c’est la ligne de défense la plus efficace et la plus économique dont vous disposez.

Action immédiate recommandée : mettre à jour Breeze Cache vers la version 2.4.5 ou supérieure, désactiver temporairement la fonctionnalité Gravatar si vous ne pouvez pas mettre à jour immédiatement, et auditer le répertoire /wp-content/cache/breeze-extra/gravatars/ à la recherche de fichiers PHP suspects.