CVE-2026-2128 in Breeze Cache PluginИнформация

Сводка

по VulDB • 02.06.2026

Плагин Breeze для WordPress уязвим к раскрытию конфиденциальной информации неавторизованному лицу во всех версиях вплоть до 2.5.2 включительно. Это связано с неправильной проверкой cookie `wordpress_logged_in_` в файле `inc/cache/execute-cache.php` при включенной настройке «Кэшировать пользователей, находящихся в системе» (Cache Logged-in Users). Плагин напрямую извлекает имя пользователя из значения cookie (например, `username|hash`) с помощью функции `substr()` для получения соответствующего файла кэша, но не проверяет криптографическую подпись или действительность сессии с ядром WordPress. Это позволяет неавторизованным злоумышленникам предоставить поддельную cookie (например, `wordpress_logged_in_fake=admin|fake`), чтобы обмануть плагин и заставить его выдать кэшированное HTML-содержимое, сгенерированное для администратора, что приводит к раскрытию конфиденциальной информации, такой как приватные записи (включая их полное содержимое), панель администратора (Admin Bar), nonce-значения WordPress и другие данные, видимые только авторизованным администраторам или другим пользователям.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

06.02.2026

Раскрытие

29.05.2026

Модерация

принято

Вход

VDB-367101

CPE

готов

CWE

CWE-200 (Подтверждённый)

CVSS

5.3 (CNA)

EPSS

0.00045

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-2128
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-2128
CVE Details	https://www.cvedetails.com/cve/CVE-2026-2128/

◂ Предыдущий Обзор Далее ▸

Interested in the pricing of exploits?

See the underground prices here!