Dwie poważne luki w rdzeniu WordPressa, CVE-2026-63030 (REST API batch-route confusion) i CVE-2026-60137 (SQL injection), połączone pozwalają anonimowym atakującym na zdalne wykonanie kodu (RCE). Problem dotyczy wersji od 6.8 do 7.0.1 i został załatany w wersjach 6.8.6, 6.9.5 i 7.0.2, przy czym WordPress zastosował “wymuszone aktualizacje”. Luka została publicznie opublikowana wraz z działającym dowodem koncepcji, a jej eksploatacja jest możliwa bez uwierzytelnienia i w domyślnych konfiguracjach, chyba że stosowany jest cache obiektów.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)