CVE-2026-2128 in Breeze Cache Plugininformación

Resumen

por VulDB • 2026-05-29

El plugin Breeze para WordPress es vulnerable a la exposición de información sensible a un actor no autorizado en todas las versiones hasta la 2.5.2, incluida. Esto se debe a una verificación inadecuada de la cookie `wordpress_logged_in_` en el archivo `inc/cache/execute-cache.php` cuando la configuración "Cache Logged-in Users" (Almacenar en caché usuarios conectados) está habilitada. El plugin analiza el nombre de usuario directamente desde el valor de la cookie (por ejemplo, `username|hash`) utilizando `substr()` para recuperar el archivo de caché correspondiente, pero no verifica la firma criptográfica o la validez de la sesión con el núcleo de WordPress. Esto permite que atacantes no autenticados proporcionen una cookie manipulada (por ejemplo, `wordpress_logged_in_fake=admin|fake`) para engañar al plugin y hacer que sirva el contenido HTML en caché generado para un administrador, lo que provoca la divulgación de información sensible, como publicaciones privadas (incluido su contenido completo), la Barra de administración, nonces de WordPress y otros datos visibles únicamente para administradores conectados u otros usuarios.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-02-06

Divulgación

2026-05-29

Moderación

aceptado

Artículo

VDB-367101

CPE

listo

EPSS

0.00059

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2128
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2128
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2128/

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!