Dla administratorów

Krytyczna podatność w WordPress Core – zdalne wykonanie kodu bez uwierzytelniania

18-07-2026
[124/2026]

Zespół CERT Polska informuje o krytycznej podatności w WordPress Core, która umożliwia zdalne wykonanie dowolnego kodu.

Informujemy o krytycznej podatności w WordPress Core, oznaczonej jako CVE-2026-63030, która umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Dodatkowo ukazała się podatność SQL injection (CVE-2026-60137), która występuje w większej liczbie instalacji. Spodziewamy się masowego wykorzystania podatności w najbliższych godzinach.

Podatność RCE dotyczy wersji:

Podatność SQL injection występuje również w wersjach:

Rekomendujemy niezwłoczną aktualizację:

Ataki nie wymagają konta użytkownika, zainstalowanych wtyczek ani niestandardowej konfiguracji – zagrożone są domyślne instalacje WordPress w podatnych wersjach. Skuteczne wykorzystanie luki może doprowadzić do przejęcia witryny i kradzieży danych.

Ze względu na wagę problemu WordPress.org uruchomił wymuszone aktualizacje za pośrednictwem mechanizmu automatycznych aktualizacji. Administratorzy powinni mimo to sprawdzić, czy aktualizacja została skutecznie zastosowana. Znane są liczne przypadki gdzie wymuszona aktualizacja nie zadziałała.

Jeżeli natychmiastowa aktualizacja nie jest możliwa, tymczasowym zabezpieczeniem jest:

Należy mieć na uwadze, że zablokowanie dostępu do API może zakłócić prawidłowe funkcjonowanie serwisu.

Szczegółowe informacje dotyczące aktualizacji znajdują się na stronie producenta: https://wordpress.org/news/2026/07/wordpress-7-0-2-release/