Sicherheitsforscher haben zwei Sicherheitslücken in WordPress gefunden, die sich zu einem Exploit verketten lassen und dann das Einschleusen von Schadcode ermöglichen. Administratoren des beliebten Blog-Systems sollten zügig updaten oder ein Mini-Plugin als Notfallflicken einspielen.
Eine kritische SQL-Injection-Lücke (CVE-2026-60137) hat einen CVSS-Wert von 9,1/10 und kann durch Angreifer aus der Ferne ausgenutzt werden. Die Lücke betrifft den author__not_in-Parameter von WP_Query, der nicht korrekt validiert wird.
Die zweite der beiden Sicherheitslücken haben die Forscher von Searchlight Cyber entdeckt – und dem Trend gehorchend direkt mit einem Spitznamen versehen: „WP2Shell“. Die Sicherheitslücke mit der CVE-Kennung CVE-2026-63030 ist für sich genommen „nur“ mit einem hohen Risiko bedacht (CVSS 7.5/10) und basiert auf einem Fehler im REST-API des freien CMS. Nur wenige Details sind bekannt, doch der API-Endpunkt /wp-json/batch/v1 scheint der Schuldige zu sein.
Die Finder haben unter wp2shell.com eine Prüfmöglichkeit für Blogbetreiber veröffentlicht. Sie erlaubt eine erste Einschätzung und enthält einen praktischen Flicken: Ein wenige Zeilen PHP-Code umfassendes WordPress-Plugin, das die schadhafte API-Route mit einer Authentifizierung versieht. Wer sein WordPress nicht sofort auf den neuesten Stand bringen kann – die empfohlene Vorgehensweise –, sollte zu diesem Behelf greifen.






