WordPress veröffentlicht Notfall-Patch für kritische Schwachstelle, die passwortlosen Remote-Zugriff auf 500 Millionen Webseiten ermöglicht

Die Versionen 7.0.2, 6.9.5 und 6.8.6, die am 17. Juli veröffentlicht wurden, beheben die Kette wp2shell: zwei gekettete CVEs, die die Remote-Ausführung von Code ohne Authentifizierung in jeder Standardinstallation ermöglichen. Öffentliches PoC seit dem Patch-Tag.
WordPress hat am 17. Juli die Versionen 7.0.2, 6.9.5 und 6.8.6 veröffentlicht, Notfallkorrekturen für zwei Schwachstellen im Kern der Plattform, die zusammen die Remote-Ausführung von Code für jeden Angreifer ohne Anmeldeinformationen ermöglichen. Die Organisation hat erzwungene automatische Updates für betroffene Webseiten aktiviert, eine Funktion, die das Sicherheitsteam nur in kritischen Risikosituationen aktiviert.
Die Kette wurde von der Sicherheitsgemeinschaft als wp2shell benannt. Es handelt sich um zwei separate CVEs: CVE-2026-63030, Verwirrung im Batch-Routing der REST API, und CVE-2026-60137, SQL-Injektion im Parameter author__not_in von WP_Query, mit einem CVSS-Wert von 9.1. Zusammen ermöglichen sie, dass eine anonyme HTTP-Anfrage den Server vollständig kompromittiert. Die Searchlight Cyber schätzt, dass über 500 Millionen Webseiten WordPress ausführen. Die anfälligen Versionen decken die Serien 6.8.x, 6.9.x und 7.0.x ab, ohne Ausnahmen für Installationen ohne zusätzliche Plugins.
Die Kette in zwei Schritten
Der Angriff beginnt am Batch-Endpunkt der REST API, Route /wp-json/wp/v2/batch, die mehrere Anfragen parallel verarbeitet. CVE-2026-63030 nutzt eine Verwirrung im internen Parser aus: eine fehlerhafte Route lässt WordPress externe Daten als interne Abfrageparameter behandeln. Dies öffnet die zweite Stufe. CVE-2026-60137 nutzt aus, dass der WP_Query das Feld author__not_in nicht bereinigt, indem SQL direkt in die Datenbankabfrage injiziert wird. Die Sequenz ermöglicht die Ausführung von Befehlen im zugrunde liegenden Betriebssystem über den klassischen Weg der fortgeschrittenen SQLi. Es sind keine Benutzerkonten, zusätzlichen Plugins oder menschlichen Interaktionen erforderlich: eine Standardinstallation von WordPress genügt.
Beazley Security veröffentlichte eine detaillierte Analyse der gesamten Kette im Advisory BSL-A1193. Der Proof of Concept-Code ist seit dem Patch-Tag öffentlich auf GitHub verfügbar. Cloudflare implementierte WAF-Regeln, die den schädlichen Endpunkt abdecken, jedoch gilt der Schutz nur für Kunden mit Business- und Enterprise-Plänen.
Die kritischsten Umgebungen
Webseiten, die automatische Updates aus betrieblichen Notwendigkeiten deaktiviert haben, wie Unternehmensdeployments mit benutzerdefinierten CI/CD-Pipelines, Intranetportale mit proprietären Themen und WooCommerce-Shops mit Drittanbieterintegrationen, bilden die am stärksten exponierte Untergruppe. Dies sind genau die, bei denen WordPress keine Updates zwangsweise durchführen kann und die häufig die wertvollsten Daten konzentrieren.
In Shared-Hosting-Umgebungen und Multitenant-Umgebungen vervielfacht sich das Risiko: Ein einzelner kompromittierter Server kann die Dateien und Datenbanken Dutzender unterschiedlicher Kunden im selben Umfeld exponieren, was eine Kreuzverantwortung zwischen dem Anbieter und den Endkunden schafft.
IT-Beratungen und MSPs mit Portfolios in WordPress stehen vor zwei gleichzeitigen Verbindlichkeiten. Die erste ist technischer Natur: Eine kompromittierte Webseite kann als Eintrittspunkt für benachbarte Systeme des Kunden durch gemeinsame Anmeldedaten oder Zugriff auf die Datenbank dienen. Die zweite ist regulatorisch. In der Europäischen Union verpflichtet die DSGVO Datenverantwortliche, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Entdeckung eines Verstoßes mit personenbezogenen Daten zu benachrichtigen. Die Strafe für eine unterlassene Meldung kann bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
In den Vereinigten Staaten setzen die bundesstaatlichen Gesetze von Kalifornien und New York Fristen von 30 bis 72 Stunden. Für Anbieter mit SLAs, die die Sicherheit der Plattform abdecken, summiert sich die vertragliche Haftung mit der regulatorischen.
Minderung und Reaktionsprotokoll
Ein Update auf 7.0.2, 6.9.5 oder 6.8.6 ist die einzige endgültige Minderung. Webseiten, die das Patch nicht sofort anwenden können, haben eine Eindämmungsoption: den Endpunkt /wp-json/wp/v2/batch im WAF oder auf dem Webserver zu blockieren. Die meisten redaktionellen und institutionellen Webseiten verwenden diesen Endpunkt nicht in der Produktion und können ihn ohne funktionale Auswirkungen blockieren.
Headless-Webseiten, die auf die REST API für Drittanbieteranwendungen angewiesen sind, haben diese Alternative nicht. Für sie ist der Patch dringend und hat kein Substitut. Rapid7 veröffentlichte eine technische Analyse mit Anzeichen für Kompromittierungen, die SOC-Teams sofort in ihre Erkennungsregeln integrieren können.
Der seit dem 17. Juli öffentlich verfügbare Exploit-Code bringt alle ungeschützten Webseiten in wachsende Gefahr. Das dokumentierte Muster bei kritischen Schwachstellen in beliebten CMS ist konsistent: Massive Kompromittierungen in großem Maßstab beginnen innerhalb von 72 Stunden nach Verfügbarkeit des PoC. Für Beratungsunternehmen mit Kundenportfolios stellt jede Webseite, die bis zum 20. Juli nicht aktualisiert wurde, einen offenen Vorfall und eine regulatorische Benachrichtigungsfrist dar, die bereits ablaufen könnte.