WordPress 发布紧急安全更新,修复一个严重预认证远程代码执行漏洞(CVE-2026-63030),匿名攻击者只需一次 HTTP 请求就能完全控制默认安装的 WordPress 站点。
WordPress 上周五发布紧急安全更新,修复了一个严重的预认证远程代码执行漏洞。该漏洞允许匿名攻击者通过一次 HTTP 请求,完全控制任何默认安装的 WordPress 站点。

漏洞编号 CVE-2026-63030,被研究人员命名为“wp2shell”。在 7 月 17 日发布的 7.0.2 和 6.9.5 版本中已修复。该漏洞利用 REST API 批量请求路由混淆与 SQL 注入,实现了无需认证的远程代码执行——这是最严重的 Web 漏洞类别,无需登录、无需特殊配置。
受影响版本为 WordPress 6.9.0 至 6.9.4 以及 7.0.0 至 7.0.1。另一个相关的 SQL 注入漏洞(CVE-2026-60137)影响从 6.8 开始的版本,已在 6.8.6 中修复。6.8 之前的版本不受影响。
据 Cloudflare 上周五发布的博客称,该 RCE 漏洞在“未使用持久对象缓存”时可被利用,这适用于大多数标准 WordPress 部署。WordPress 安全团队在公开披露前已将漏洞告知 Cloudflare,使其能够在 17:03 UTC 部署 WAF 防护。
WordPress.org 已为受影响站点启用强制自动更新,但禁用自动更新的站点或版本控制环境可能无法自动获取补丁。官方发布通告称这是“最高严重性、最高优先级的问题”。
对于无法立即打补丁的站点,安全团队建议在 WAF 层面同时屏蔽 /wp-json/batch/v1 路径和查询字符串形式 ?rest_route=/batch/v1。仅屏蔽美观的永久链接路径会留下替代路由。
由于 WordPress 是开源的,公开的发布归档使修复代码——以及漏洞的利用路线——同时暴露给防御者和攻击者。披露时尚未发现实际利用,但安全研究人员指出,对于核心 RCE 漏洞,“小时比天更重要”。WordPress 支撑着约 40% 的网站,从补丁发布到广泛部署之间的窗口期意味着未修补站点面临极高风险。
免费获取企业 AI 成熟度诊断报告,发现转型机会
关注公众号

扫码关注,获取最新 AI 资讯
3 步完成企业诊断,获取专属转型建议
已有 200+ 企业完成诊断