WordPress 核心預認證 RCE|免登入直接拿 shell,波及 5 億+ 網站
一句話總結
研究員 Adam Kues 披露 WordPress 核心 pre-auth RCE「wp2shell」(CVE-2026-63030),免登入即可執行代碼,波及 5 億+ 網站,已在 7.0.2/6.9.5 修復。
WordPress 核心預認證 RCE|免登入直接拿 shell,波及 5 億+ 網站
Searchlight Cyber 研究員 Adam Kues 披露 WordPress 核心一個 pre-auth RCE,代號 wp2shell(CVE-2026-63030)。匿名用戶無需任何前置條件、無需任何插件,就能在原生安裝的 WordPress 站點上遠程執行代碼。這個開源 CMS 佔全球網站四成以上,預計波及 5 億+ 站點。
漏洞鏈的是兩個 bug。第一個是 REST API 的 `/wp-json/batch/v1` 端點 route confusion(CVE-2026-63030),第二個是 WP_Query 的 `author__not_in` 參數 SQL 注入(CVE-2026-60137)。攻擊路徑:免登入打 batch 路由 → 路由混淆繞過鑑權 → 觸發 WP_Query SQLi → 執行代碼拿 shell。
受影響版本是 6.9.0 到 6.9.4 和 7.0.0 到 7.0.1。問題代碼從 6.9 才引入,6.9 在 2025 年 12 月 2 日發布,也就是說老站點反而躲過一劫。WordPress 已在 7 月 17 日發布 7.0.2(6.9 分支對應 6.9.5)修復,同一批安全更新修了一個 critical 加一個 high。
官方暫未公開完整技術細節,但檢測 PoC 已在 GitHub 出現。無法立即升級的管理員可臨時封堵:裝 Disable WP REST API 插件關掉未鑑權 API,或用 WAF 攔截針對 `/wp-json/batch/v1` 的請求。
立即升到 7.0.2 或 6.9.5,沒有替代方案。
via The Hacker News / Searchlight Cyber / wp2shell
Searchlight Cyber 研究員 Adam Kues 披露 WordPress 核心一個 pre-auth RCE,代號 wp2shell(CVE-2026-63030)。匿名用戶無需任何前置條件、無需任何插件,就能在原生安裝的 WordPress 站點上遠程執行代碼。這個開源 CMS 佔全球網站四成以上,預計波及 5 億+ 站點。
漏洞鏈的是兩個 bug。第一個是 REST API 的 `/wp-json/batch/v1` 端點 route confusion(CVE-2026-63030),第二個是 WP_Query 的 `author__not_in` 參數 SQL 注入(CVE-2026-60137)。攻擊路徑:免登入打 batch 路由 → 路由混淆繞過鑑權 → 觸發 WP_Query SQLi → 執行代碼拿 shell。
受影響版本是 6.9.0 到 6.9.4 和 7.0.0 到 7.0.1。問題代碼從 6.9 才引入,6.9 在 2025 年 12 月 2 日發布,也就是說老站點反而躲過一劫。WordPress 已在 7 月 17 日發布 7.0.2(6.9 分支對應 6.9.5)修復,同一批安全更新修了一個 critical 加一個 high。
官方暫未公開完整技術細節,但檢測 PoC 已在 GitHub 出現。無法立即升級的管理員可臨時封堵:裝 Disable WP REST API 插件關掉未鑑權 API,或用 WAF 攔截針對 `/wp-json/batch/v1` 的請求。
立即升到 7.0.2 或 6.9.5,沒有替代方案。
via The Hacker News / Searchlight Cyber / wp2shell
