Sicherheits-Bulletin vom 18. Juli 2026: Notfall-Update für den WordPress-Kern — vorauthentifizierte SQL-Injection-Kette „wp2shell" (CVE-2026-60137 & CVE-2026-63030)
18. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 18. Juli steht ausnahmsweise ganz im Zeichen eines einzigen, aber außergewöhnlich schwerwiegenden Ereignisses: einer Schwachstelle im WordPress-Kern selbst — nicht in einem Plugin oder Theme. Wir haben uns deshalb bewusst gegen die übliche Vierer-Auswahl kleinerer Plugin-Lücken und für eine fokussierte Ausgabe entschieden. Das WordPress-Sicherheitsteam hat die Notfall-Versionen 7.0.2, 6.9.5 und 6.8.6 veröffentlicht und für betroffene Installationen erzwungene Hintergrund-Aktualisierungen ausgelöst. Hintergrund sind zwei zusammenhängende Fehler, die sich zu einer vorauthentifizierten Angriffskette verbinden lassen, die in der Sicherheits-Berichterstattung unter dem Namen „wp2shell” geführt wird: eine SQL-Injection im Kern-Abfrage-Baustein und eine Route-Verwechslung im REST-Batch-Endpunkt, die die Injektion ohne jede Anmeldung erreichbar macht. Da WordPress rund um den Globus einen dominierenden Anteil aller Websites antreibt, betrifft dieser Vorgang praktisch jeden WordPress-Betreiber. Ein neues Shopware-Advisory oder eine neue Schwachstelle im PHP-Kern gab es an diesem Tag nicht.
CVE-2026-60137 — SQL-Injection im WordPress-Kern über den Parameter author__not_in (Bewertung umstritten)
Die Kern-Klasse WP_Query, über die WordPress praktisch alle Datenbank-Abfragen für
Beiträge und Inhalte zusammensetzt, bereinigt den Parameter author__not_in nicht
ausreichend, bevor er in die SQL-WHERE-Bedingung eingebaut wird. Übergibt Code
nicht vertrauenswürdige Eingaben an diesen Parameter, lässt sich dadurch eigenes SQL in die
Datenbank-Abfrage einschleusen. Interessant ist die geteilte Risikobewertung: Die für die
Zuteilung zuständige Stelle (WPScan als CNA) stuft die Lücke isoliert als mittel mit einem
CVSS-Wert von 5,9 ein (Vektor AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N), weil sie für sich
genommen voraussetzt, dass ein Plugin oder Theme nicht vertrauenswürdige Eingaben an den
Parameter durchreicht. Die ergänzende Bewertung durch die CISA-ADP vergibt hingegen einen
kritischen Wert von 9,1 (Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N). Die
Schwachstellenklasse ist CWE-89 (Improper Neutralization of Special Elements used in an SQL
Command). Über eine erfolgreiche Injektion lassen sich beliebige Datenbank-Inhalte auslesen —
darunter Benutzerdatensätze und die Passwort-Hashes von Administratoren, die sich offline
knacken lassen. Betroffen sind die WordPress-Zweige 6.8.0 bis 6.8.5, 6.9.0 bis 6.9.4 sowie
7.0.0 bis 7.0.1; Versionen vor 6.8 sind nicht betroffen. Der Kern behebt das Problem in den
Versionen 6.8.6, 6.9.5 und 7.0.2.
Quellen: National Vulnerability Database — CVE-2026-60137 · WordPress-Sicherheitsadvisory GHSA-fpp7-x2x2-2mjf
CVE-2026-63030 — Route-Verwechslung im REST-Batch-Endpunkt macht die Injektion vorauthentifiziert (kritisch)
Der eigentliche Schweregrad des Tages entsteht aus der Verkettung. Der REST-API-Batch-Endpunkt
von WordPress (/wp-json/batch/v1), der mehrere API-Aufrufe in einer einzigen Anfrage
bündelt, weist eine Route-Verwechslung auf (CWE-436, Interpretation Conflict): Der Endpunkt
interpretiert die zusammengefassten Teil-Anfragen anders, als es die für die einzelnen Routen
vorgesehenen Zugriffsprüfungen erwarten. Dadurch lässt sich die oben beschriebene
SQL-Injection, die für sich genommen nur einem angemeldeten Nutzer beziehungsweise über ein
zuliefernedes Plugin erreichbar wäre, ohne jede Anmeldung ansprechen. Aus der Kombination
entsteht der vollständige, vorauthentifizierte Pfad, der von der SQL-Injection bis zur
Remote-Code-Ausführung reicht und in der Berichterstattung als „wp2shell” bezeichnet wird.
Die zuteilende Stelle (WPScan als CNA) bewertet diese Kette als kritisch mit einem
CVSS-Wert von 9,8 (Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H); die ergänzende
CISA-ADP-Bewertung liegt bei 7,5. Betroffen von der Route-Verwechslung sind die Zweige
6.9.0 bis 6.9.4 sowie 7.0.0 bis 7.0.1 — die vollständige, anmeldungsfreie Kette trifft also
diese Versionen; im Zweig 6.8.x liegt nur die zugrunde liegende SQL-Injection vor. Behoben ist
die Lücke in den Versionen 6.9.5 und 7.0.2.
Quellen: National Vulnerability Database — CVE-2026-63030 · WordPress-Sicherheitsadvisory GHSA-ff9f-jf42-662q
Was Betreiber jetzt tun sollten
Das WordPress-Sicherheitsteam stuft die Angelegenheit als so gravierend ein, dass es
erzwungene Hintergrund-Aktualisierungen über das Auto-Update-System für alle betroffenen
Installationen ausgelöst hat. Auf Websites, bei denen automatische Aktualisierungen aktiv
sind, sollte das Update daher bereits eingespielt werden oder in Kürze anlaufen. Verlassen
Sie sich dennoch nicht allein darauf: Prüfen Sie im Dashboard unter „Aktualisierungen” die
installierte Kern-Version und stellen Sie sicher, dass sie auf 7.0.2, 6.9.5 oder 6.8.6
(je nach Zweig) steht. Wo automatische Kern-Updates deaktiviert wurden — etwa durch eine
Konstante in der wp-config.php oder durch ein Management-Werkzeug — muss das Update
umgehend von Hand nachgezogen werden. Da für die vollständige Kette ein öffentlich
beschriebener Ausnutzungsweg existiert und der REST-Batch-Endpunkt ohne Anmeldung erreichbar
ist, ist rasches Handeln geboten; eine vorübergehende Absicherung des Endpunkts
/wp-json/batch/v1 über eine Zugriffsregel kann die Angriffsfläche überbrücken, ersetzt aber
nicht das Update.
Quellen: WordPress 7.0.2 Security Release
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.