Критические уязвимости WordPress: публичные эксплойты для RCE-атак

Фото: BleepingComputer
Краткий ответ
В WordPress Core обнаружены критические уязвимости CVE-2026-63030 и CVE-2026-60137, позволяющие удалённо выполнять код без аутентификации.
В WordPress Core обнаружены критические уязвимости, получившие название «wp2shell». Они позволяют злоумышленникам удалённо выполнять произвольный код на уязвимых сайтах без необходимости аутентификации. Уязвимости затрагивают версии 6.9.x и 7.0.x, а эксплойты для них уже опубликованы в открытом доступе, что значительно повышает риск атак.
Проблема состоит из двух уязвимостей: CVE-2026-63030 (ошибка маршрутизации REST API) и CVE-2026-60137 (SQL-инъекция в параметре «author__not_in»). Их комбинация позволяет атакующему получить контроль над сайтом без предварительной авторизации. По оценкам экспертов, более 500 миллионов сайтов используют WordPress, что делает уязвимость потенциально массовой.
Команда WordPress уже выпустила исправления в версиях 7.0.2 и 6.9.5, а также активировала принудительные автоматические обновления для уязвимых установок. Для временной защиты рекомендуется блокировать доступ к REST API или использовать WAF для фильтрации подозрительных запросов. Cloudflare уже добавила защиту от этих уязвимостей в свои правила для всех тарифных планов.
Эксперты по безопасности отмечают, что атаки с использованием этих уязвимостей уже фиксируются в реальных условиях. Администраторам сайтов настоятельно рекомендуется обновить свои установки как можно скорее, чтобы избежать компрометации.
Частые вопросы
- Какие версии WordPress уязвимы к атакам wp2shell?
- Уязвимости затрагивают WordPress 6.9.0–6.9.4 и 7.0.0–7.0.1. Версии 6.8.x также уязвимы к SQL-инъекции, но не к полной цепочке RCE.
- Как защитить сайт на WordPress от этих уязвимостей?
- Необходимо обновить WordPress до версий 7.0.2 или 6.9.5. Временные меры включают блокировку доступа к REST API или настройку WAF для фильтрации запросов к /wp-json/batch/v1.
- Могут ли эти уязвимости использоваться без авторизации?
- Да, атака wp2shell позволяет выполнять код без аутентификации, что делает её особенно опасной для сайтов с дефолтными настройками.
Лента для Дзен: /feed/dzen.xml · RSS: /feed.xml