新 wp2shell WordPress 核心漏洞允许未认证攻击者执行代码
导语:wp2shell 组合漏洞允许匿名攻击者通过 WordPress 核心直接执行代码,CVE-2026-63030 与 CVE-2026-60137 组成的攻击链路已出现公开 PoC。
2026 年 7 月 18 日更新:两个漏洞现已分配 CVE 编号,完整利用机制已经公开,相关持续对象缓存的条件也被披露,同时一个可运行的概念验证(PoC)已经公开发布。下文反映了上述全部细节。
一个匿名 HTTP 请求即可在 WordPress 站点上执行代码。该漏洞位于 WordPress 核心之中,因此即便是零插件的全新安装也存在被利用的风险。在上周五 WordPress 发布 6.9.5 与 7.0.2,并通过自动更新机制启用所谓"强制更新"之前,所有运行 6.9 与 7.0 的站点均处于受影响范围之内。
wp2shell 由两个漏洞组成,而非一个,并且两者均已获得 CVE 编号。其中 CVE-2026-63030 对应 REST API 批量路由混淆漏洞;CVE-2026-60137 对应 WordPress 核心中的一处 SQL 注入漏洞。两者串联之后,可将一个匿名请求一路贯通至代码执行阶段。
自上周五起,完整利用机制已被公开,一个可用的概念验证代码也已上传至 GitHub。Searchlight Cyber 旗下攻击面管理团队 Assetnote 的研究员 Adam Kues 发现了批量路由漏洞,并通过 WordPress 的 HackerOne 项目上报。该漏洞的技术报告以"wp2shell"为名发布,其中指出该攻击"无需任何前置条件,可由匿名用户执行"。SQL 注入漏洞则由 TF1T、dtro 与 haongo 单独报告。
Searchlight 仍在保留其自身的技术细节,并将站点运营者引导至 wp2shell.com 上的检查工具。该公司的谨慎态度如今已无关紧要:补丁已公开,其他研究者也已对其进行解读。

两个漏洞影响的版本范围并不一致,这也是评估暴露面的关键所在。SQL 注入漏洞可追溯至 6.8 版本;而将受限注入转化为未认证 RCE 的另一半——批量路由混淆——仅在 6.9 及更高版本中存在。7.1 beta2 已同时包含这两处修复。6.8 站点无法通过该组合实现 RCE,这正是 6.8.6 仅修复注入漏洞的原因所在。WordPress 尚未说明强制推送是否覆盖那些已关闭自动更新功能的站点。请直接核查当前实际运行的版本,而不是假设补丁已抵达。
Searchlight 的文章估算全球有超过 5 亿个网站运行 WordPress。这一数字代表整体安装基数,而非受漏洞影响的范围:RCE 链路仅存在于 6.9 及以上版本,而 6.9 发布于 2025 年 12 月 2 日。因此,每一处暴露于代码执行路径的站点,其运行版本均不足八个月;目前尚无公告披露具体受影响站点数量。
该组合利用涉及两个细小的失误。注入漏洞位于 WP_Query 的 author__not_in 参数:若向该参数传入字符串而非数组,原本期望数组的检查将被跳过,从而将原始值直接拼入 SQL 查询。无需登录即可抵达该参数的途径则由批量端点承担。WordPress 的 /wp-json/batch/v1 路由可在一次调用中执行多个子请求,并通过两个并行数组进行追踪;当某一个子请求出错时,两个数组之间的对齐关系会被打乱,使得一个请求被另一请求的处理器处理。嵌套使用时,这一错位会绕过端点的允许列表,将攻击者输入投递至存在漏洞的查询,且全程无需认证。批量端点自 2020 年的 5.6 版本起便已存在;而可被滥用造成混淆的问题则是 6.9 版本中才出现的。
漏洞评分值得仔细研读。WordPress 自身的安全公告将该 RCE 链路评定为 Critical(严重)。其 CVE 记录给出的评分则为 7.5,仅为 High(高危),且影响维度仅认可数据访问层面的风险,并未涵盖代码执行本应带来的完整性与可用性损失;而单独看 SQL 注入漏洞的评分则高于 9.1,属于 Critical。每个人都在称之为严重 RCE 的漏洞,按其自身的编号评分来看,反而是两个漏洞中影响较小的那个。这是因为评分体系奖励了注入漏洞对数据库的直接触达,并将路由混淆单独视为解析缺陷。请同时跟踪这两个 CVE,而不是只关注任何一方挂出的标签。
还有一个条件会缩小此次漏洞的爆炸半径。据 Cloudflare 披露(与披露同步发布了对应的 WAF 规则),代码执行路径仅在站点未使用持久化对象缓存时有效。默认安装并未配置此类缓存,因此默认安装下的暴露风险依然成立。位于 WordPress 之前并使用 Redis 或 Memcached 作为持久化对象缓存的站点,可能不会落入这一特定路径,但这是副作用而非修复,也无法覆盖 SQL 注入漏洞本身。
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/new-wp2shell-wordpress-core-flaw-lets.html
作者:info@thehackernews.com (The Hacker News)

