Krytyczna podatność w WordPress Core – zdalne wykonanie kodu bez uwierzytelniania
Zespół CERT Polska informuje o krytycznej podatności w WordPress Core, która umożliwia zdalne wykonanie dowolnego kodu.
Informujemy o krytycznej podatności w WordPress Core, oznaczonej jako CVE-2026-63030, która umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Dodatkowo ukazała się podatność SQL injection (CVE-2026-60137), która występuje w większej liczbie instalacji. Spodziewamy się masowego wykorzystania podatności w najbliższych godzinach.
Podatność RCE dotyczy wersji:
WordPress 6.9.0–6.9.4,
WordPress 7.0.0–7.0.1.
Podatność SQL injection występuje również w wersjach:
WordPress 6.8.0–6.8.5
Rekomendujemy niezwłoczną aktualizację:
gałęzi 6.8 do wersji 6.8.6.
gałęzi 6.9 do wersji 6.9.5,
gałęzi 7.0 do wersji 7.0.2,
gałęzi 7.1 do wersji 7.1 beta2.
Ataki nie wymagają konta użytkownika, zainstalowanych wtyczek ani niestandardowej konfiguracji – zagrożone są domyślne instalacje WordPress w podatnych wersjach. Skuteczne wykorzystanie luki może doprowadzić do przejęcia witryny i kradzieży danych.
Ze względu na wagę problemu WordPress.org uruchomił wymuszone aktualizacje za pośrednictwem mechanizmu automatycznych aktualizacji. Administratorzy powinni mimo to sprawdzić, czy aktualizacja została skutecznie zastosowana. Znane są liczne przypadki gdzie wymuszona aktualizacja nie zadziałała.
Jeżeli natychmiastowa aktualizacja nie jest możliwa, tymczasowym zabezpieczeniem jest:
zablokowanie dostępu do całego REST API np. za pomocą pluginu, lub
zablokowanie dostępu do ścieżki /wp-json/batch/v1 oraz parametr ?rest_route=/batch/v1 na poziomie rozwiązania typu WAF.
Należy mieć na uwadze, że zablokowanie dostępu do API może zakłócić prawidłowe funkcjonowanie serwisu.
Szczegółowe informacje dotyczące aktualizacji znajdują się na stronie producenta: https://wordpress.org/news/2026/07/wordpress-7-0-2-release/