Nowa luka w rdzeniu WordPressa: wp2shell umożliwia atakującym spoza autoryzacji wykonanie kodu

Krytyczna luka wp2shell w WordPressie pozwala na RCE. Odkryj szczegóły i dowiedz się, jak chronić swoją stronę przed anonimowymi atakami.

Dwie poważne luki w rdzeniu WordPressa, CVE-2026-63030 (REST API batch-route confusion) i CVE-2026-60137 (SQL injection), połączone pozwalają anonimowym atakującym na zdalne wykonanie kodu (RCE). Problem dotyczy wersji od 6.8 do 7.0.1 i został załatany w wersjach 6.8.6, 6.9.5 i 7.0.2, przy czym WordPress zastosował “wymuszone aktualizacje”. Luka została publicznie opublikowana wraz z działającym dowodem koncepcji, a jej eksploatacja jest możliwa bez uwierzytelnienia i w domyślnych konfiguracjach, chyba że stosowany jest cache obiektów.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)