YYaaa News

WordPress 核心预认证 RCE | 免登录直接拿 shell,波及 5 亿+ 网站

一句话总结

研究员 Adam Kues 披露 WordPress 核心 pre-auth RCE「wp2shell」(CVE-2026-63030),免登录即可执行代码,波及 5 亿+ 网站,已在 7.0.2/6.9.5 修复。

Searchlight Cyber 研究员 Adam Kues 披露 WordPress 核心一个 pre-auth RCE,代号 wp2shell(CVE-2026-63030)。匿名用户无需任何前置条件、无需任何插件,就能在原生安装的 WordPress 站点上远程执行代码。这个开源 CMS 占全球网站四成以上,预计波及 5 亿+ 站点。

漏洞链的是两个 bug。第一个是 REST API 的 /wp-json/batch/v1 端点 route confusion(CVE-2026-63030),第二个是 WP_Query 的 author__not_in 参数 SQL 注入(CVE-2026-60137)。攻击路径:免登录打 batch 路由 → 路由混淆绕过鉴权 → 触发 WP_Query SQLi → 执行代码拿 shell。

受影响版本是 6.9.0 到 6.9.4 和 7.0.0 到 7.0.1。问题代码从 6.9 才引入,6.9 在 2025 年 12 月 2 日发布,也就是说老站点反而躲过一劫。WordPress 已在 7 月 17 日发布 7.0.2(6.9 分支对应 6.9.5)修复,同一批安全更新修了一个 critical 加一个 high。

官方暂未公开完整技术细节,但检测 PoC 已在 GitHub 出现。无法立即升级的管理员可临时封堵:装 Disable WP REST API 插件关掉未鉴权 API,或用 WAF 拦截针对 /wp-json/batch/v1 的请求。

立即升到 7.0.2 或 6.9.5,没有替代方案。

via The Hacker News / Searchlight Cyber / wp2shell
WordPress 核心預認證 RCE|免登入直接拿 shell,波及 5 億+ 網站