WordPress wp2shell: Wie zwei Kernfehler es Angreifern ermöglichen, Code auszuführen, ohne sich anzumelden
Von Necolas Hamwi
18. Juli 2026 | aratech-Blog
Die Kurzversion
Eine anonyme HTTP-Anfrage kann jetzt eine WordPress-Site übernehmen. Kein Passwort, kein Plugin, keine Fehlkonfiguration – nur eine reine WordPress-Installation. Zwei neu verkettete Schwachstellen, CVE-2026-63030 und CVE-2026-60137, verwandeln eine Standard-WordPress-6.9- oder 7.0-Site in ein Ziel für die Remotecodeausführung. Die Schwachstellen liegen im Kern, der Exploit ist öffentlich und Patches werden bereits über erzwungene automatische Updates bereitgestellt.
Wenn Sie WordPress für einen Kunden, ein Portfolio oder ein internes Tool ausführen, ist dieses wichtig.
Was ist wp2shell?
Der Sicherheitsforscher Adam Kues (Searchlight Cyber / Assetnote) hat eine Zwei-Fehler-Kette entdeckt und veröffentlicht, die die Authentifizierung vollständig umgeht. Der Name wp2shell leitet sich vom Ergebnis des Angriffs ab: Ein nicht authentifizierter Angreifer sendet eine manipulierte Anfrage und erhält eine Shell – vollständige Codeausführung auf dem Server.
Die Kette funktioniert so:
- CVE-2026-60137 – Eine SQL-Injection in den WordPress-Kern ermöglicht es einem Angreifer, die Datenbank durch eine nicht authentifizierte Anfrage zu manipulieren.
- CVE-2026-63030 – Eine Sicherheitslücke in der REST-API, die Batch-Route-Verwirrung ermöglicht, ermöglicht es dem Angreifer, die SQL-Injection in eine Rechteausweitung und Remote-Codeausführung zu verketten.
Für sich genommen ist jeder Fehler schwerwiegend. Zusammen sind sie katastrophal, da der Angriff null Vorbedingungen erfordert: kein authentifizierter Benutzer, kein Administratorzugriff, kein anfälliges Plugin.
Wer ist betroffen?
Die betroffenen Versionen sind konkret:
Wenn auf Ihrer Website eine Version von 6.9.0 bis 6.9.4 oder 7.0.0 bis 7.0.1 läuft, war diese ausnutzbar, bis WordPress am Freitag, dem 17. Juli 2026, erzwungene automatische Updates auslieferte.
Die gute Nachricht: WordPress hat über sein Auto-Update-System erzwungene Updates aktiviert, sodass viele Websites bereits gepatcht sind. Die schlechte Nachricht: Jede Site mit deaktivierten automatischen Updates oder jede Site, die den erzwungenen Push verpasst hat, bleibt anfällig.
Warum sich dies von anderen WordPress-Fehlern unterscheidet
Die meisten WordPress-Schwachstellen liegen in Plugins oder Themes. Ein Kernfehler ist seltener und gefährlicher, weil:
- Jede Installation ist ein Ziel. Kein Plugin-Audit kann es erkennen.
- Die Angriffsfläche ist universell. Die REST-API ist standardmäßig aktiviert.
- Ausnutzung ist trivial. Ein funktionierender Proof-of-Concept ist bereits auf GitHub öffentlich.
- Patching ist nicht optional. Das Warten auf Ihr nächstes Wartungsfenster ist ein Risiko.
Der wp2shell-Mechanismus wurde am 17. Juli vollständig veröffentlicht und am selben Tag ging ein funktionierender PoC in Betrieb. Das bedeutet, dass Exploit-Code nun für jeden Angreifer verfügbar ist, nicht nur für den ursprünglichen Forscher.
Was sollten Sie jetzt tun?
-
Überprüfen Sie Ihre Version. Melden Sie sich bei wp-admin an und schauen Sie in die rechte untere Ecke oder führen Sie „wp core version“ über WP-CLI aus. Wenn Sie 6.9.x unter 6.9.5 oder 7.0.x unter 7.0.2 verwenden, sind Sie gefährdet.
-
Sofort aktualisieren. WordPress 6.9.5 und 7.0.2 schließen beide CVEs. Wenn automatische Updates deaktiviert sind, aktualisieren Sie jetzt manuell.
-
Überprüfen Sie, ob der Patch gelandet ist. Bestätigen Sie nach der Aktualisierung die Versionsnummer. Gehen Sie nicht davon aus, dass das erzwungene Update Ihren Host erreicht hat.
-
Suchen Sie nach Anzeichen einer Kompromittierung. Da dieser Fehler nicht authentifizierten Zugriff ermöglicht, überprüfen Sie Ihre Zugriffsprotokolle vor dem Patch-Datum auf unerwartete REST-API-Anfragen an „/wp-json/wp/v2/“ oder „/wp-json/wp/v2/users“.
-
Härten Sie Ihre REST-API. Wenn Sie die REST-API nicht verwenden, sollten Sie erwägen, sie mit einer Firewall-Regel oder einem Sicherheits-Plugin einzuschränken. Dadurch wird der Fehler nicht behoben, die Anfälligkeit für ähnliche zukünftige Fehler wird jedoch verringert.
Das Gesamtbild: Kernsoftware ist nicht grundsätzlich sicher
Organisationen behandeln WordPress oft als „nur ein CMS“ und gehen davon aus, dass Sicherheit ein Plugin-Problem sei. wp2shell beweist, dass diese Annahme falsch ist. Die vertrauenswürdigste Software im Internet kann einen RCE vor der Authentifizierung im Kern liefern, und das Einzige, was zwischen Ihnen und einem Kompromiss steht, ist, ob Ihr Update-Mechanismus an einem Freitagnachmittag funktioniert hat.
Für Unternehmen ist die Lektion dieselbe wie für Betriebssysteme: Patch-Kadenz ist eine Sicherheitskontrolle. Wenn Ihr Team nicht über eine dokumentierte, getestete WordPress-Kernaktualisierungsrichtlinie verfügt, ist dies Ihre Erinnerung, eine zu erstellen.
Über den Forscher
Adam Kues hat den Batch-Route-Fehler über das HackerOne-Programm von WordPress gemeldet. Die SQL-Injection wurde von den Forschern TF1T, dtro und haongo separat gemeldet. Searchlight Cyber, die Abteilung für Angriffsflächenmanagement, bei der Kues arbeitet, veröffentlichte den Artikel unter dem Namen wp2shell und hält immer noch die vollständigen technischen Details bereit, während Websitebesitzer auf einen Checker bei wp2shell.com verwiesen werden.
---## TL;DR
– Zwei WordPress-Kernfehler führen zu einer nicht authentifizierten Remote-Codeausführung. – Betrifft 6.9.0–6.9.4 und 7.0.0–7.0.1.
- Öffentlicher PoC ist live. Erzwungene automatische Updates wurden am 17. Juli ausgeliefert.
- Wenn Sie WordPress-Sites verwalten, aktualisieren Sie heute auf 6.9.5 oder 7.0.2.
Necolas Hamwi ist CTO und Gründer von aratech. Er schreibt über Cybersicherheit, KI und die Infrastrukturentscheidungen, die moderne digitale Unternehmen prägen.