YYaaa News

WordPress 核心預認證 RCE|免登入直接拿 shell,波及 5 億+ 網站

一句話總結

研究員 Adam Kues 披露 WordPress 核心 pre-auth RCE「wp2shell」(CVE-2026-63030),免登入即可執行代碼,波及 5 億+ 網站,已在 7.0.2/6.9.5 修復。

WordPress 核心預認證 RCE|免登入直接拿 shell,波及 5 億+ 網站

Searchlight Cyber 研究員 Adam Kues 披露 WordPress 核心一個 pre-auth RCE,代號 wp2shell(CVE-2026-63030)。匿名用戶無需任何前置條件、無需任何插件,就能在原生安裝的 WordPress 站點上遠程執行代碼。這個開源 CMS 佔全球網站四成以上,預計波及 5 億+ 站點。

漏洞鏈的是兩個 bug。第一個是 REST API 的 `/wp-json/batch/v1` 端點 route confusion(CVE-2026-63030),第二個是 WP_Query 的 `author__not_in` 參數 SQL 注入(CVE-2026-60137)。攻擊路徑:免登入打 batch 路由 → 路由混淆繞過鑑權 → 觸發 WP_Query SQLi → 執行代碼拿 shell。

受影響版本是 6.9.0 到 6.9.47.0.0 到 7.0.1。問題代碼從 6.9 才引入,6.9 在 2025 年 12 月 2 日發布,也就是說老站點反而躲過一劫。WordPress 已在 7 月 17 日發布 7.0.2(6.9 分支對應 6.9.5)修復,同一批安全更新修了一個 critical 加一個 high。

官方暫未公開完整技術細節,但檢測 PoC 已在 GitHub 出現。無法立即升級的管理員可臨時封堵:裝 Disable WP REST API 插件關掉未鑑權 API,或用 WAF 攔截針對 `/wp-json/batch/v1` 的請求。

立即升到 7.0.2 或 6.9.5,沒有替代方案。

via The Hacker News / Searchlight Cyber / wp2shell
WordPress 核心預認證 RCE|免登入直接拿 shell,波及 5 億+ 網站