Wp2shell – WordPress Core sérülékenység

Editors' Pick

A Searchlight Cyber kutatói egy kritikus, wp2shell néven nyilvánosságra hozott támadási láncot fedeztek fel a WordPress Core kódjában, amely alapértelmezett telepítésen, bővítmények nélkül is lehetővé teszi a hitelesítés nélküli távoli kódfuttatást. A támadás két külön sérülékenységet kapcsol össze, a CVE-2026-63030 a REST API batch/v1végpontjának útvonalkezelési hibája, míg a CVE-2026-60137 egy SQL injection sérülékenység a WP_Query author__not_inparaméterének feldolgozásában. A lánc eredményeként egyetlen anonim HTTP-kéréssel PHP-kód futtatható a webszerveren, ami teljes webhelyátvételhez vezethet. A sérülékenység a WordPress 6.9.0–6.9.4 és 7.0.0–7.0.1 verziókat érinti; a hibát a 6.9.5 és 7.0.2 kiadások javítják. A WordPress a javítást rendkívüli, automatikus biztonsági frissítésként is terjeszti, tekintettel arra, hogy világszerte több mint 500 millió webhely használja a platformot.

A kutatók szerint a sérülékenység azért különösen veszélyes, mert nincs szükség érvényes felhasználói fiókra, speciális konfigurációra vagy sérülékeny bővítményre, így a támadási felület rendkívül széles. A nyilvánosságra hozatallal egy időben működő proof-of-concept és ellenőrző eszköz is megjelent, ezért gyorsan megindulhatnak az automatizált internetes keresések és tömeges támadások. Azok számára, akik nem tudnak azonnal frissíteni, átmeneti megoldásként a wp-json/batch/v1 REST API végpont letiltása vagy hitelesítéshez kötése, illetve WAF-szabályok alkalmazása javasolt, de ezek csak ideiglenes védelmet nyújtanak. A gyakorlatban a sérülékenység csak a javított verziókra történő frissítéssel szüntethető meg.

FORRÁS