Zum Inhalt springen
jproxx
← Zurück zum Blog

Sicherheits-Bulletin vom 18. Juli 2026: Notfall-Update für den WordPress-Kern — vorauthentifizierte SQL-Injection-Kette „wp2shell" (CVE-2026-60137 & CVE-2026-63030)

18. Juli 2026 · jproxx Security

Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 18. Juli steht ausnahmsweise ganz im Zeichen eines einzigen, aber außergewöhnlich schwerwiegenden Ereignisses: einer Schwachstelle im WordPress-Kern selbst — nicht in einem Plugin oder Theme. Wir haben uns deshalb bewusst gegen die übliche Vierer-Auswahl kleinerer Plugin-Lücken und für eine fokussierte Ausgabe entschieden. Das WordPress-Sicherheitsteam hat die Notfall-Versionen 7.0.2, 6.9.5 und 6.8.6 veröffentlicht und für betroffene Installationen erzwungene Hintergrund-Aktualisierungen ausgelöst. Hintergrund sind zwei zusammenhängende Fehler, die sich zu einer vorauthentifizierten Angriffskette verbinden lassen, die in der Sicherheits-Berichterstattung unter dem Namen „wp2shell” geführt wird: eine SQL-Injection im Kern-Abfrage-Baustein und eine Route-Verwechslung im REST-Batch-Endpunkt, die die Injektion ohne jede Anmeldung erreichbar macht. Da WordPress rund um den Globus einen dominierenden Anteil aller Websites antreibt, betrifft dieser Vorgang praktisch jeden WordPress-Betreiber. Ein neues Shopware-Advisory oder eine neue Schwachstelle im PHP-Kern gab es an diesem Tag nicht.

CVE-2026-60137 — SQL-Injection im WordPress-Kern über den Parameter author__not_in (Bewertung umstritten)

Die Kern-Klasse WP_Query, über die WordPress praktisch alle Datenbank-Abfragen für Beiträge und Inhalte zusammensetzt, bereinigt den Parameter author__not_in nicht ausreichend, bevor er in die SQL-WHERE-Bedingung eingebaut wird. Übergibt Code nicht vertrauenswürdige Eingaben an diesen Parameter, lässt sich dadurch eigenes SQL in die Datenbank-Abfrage einschleusen. Interessant ist die geteilte Risikobewertung: Die für die Zuteilung zuständige Stelle (WPScan als CNA) stuft die Lücke isoliert als mittel mit einem CVSS-Wert von 5,9 ein (Vektor AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N), weil sie für sich genommen voraussetzt, dass ein Plugin oder Theme nicht vertrauenswürdige Eingaben an den Parameter durchreicht. Die ergänzende Bewertung durch die CISA-ADP vergibt hingegen einen kritischen Wert von 9,1 (Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N). Die Schwachstellenklasse ist CWE-89 (Improper Neutralization of Special Elements used in an SQL Command). Über eine erfolgreiche Injektion lassen sich beliebige Datenbank-Inhalte auslesen — darunter Benutzerdatensätze und die Passwort-Hashes von Administratoren, die sich offline knacken lassen. Betroffen sind die WordPress-Zweige 6.8.0 bis 6.8.5, 6.9.0 bis 6.9.4 sowie 7.0.0 bis 7.0.1; Versionen vor 6.8 sind nicht betroffen. Der Kern behebt das Problem in den Versionen 6.8.6, 6.9.5 und 7.0.2.

Quellen: National Vulnerability Database — CVE-2026-60137 · WordPress-Sicherheitsadvisory GHSA-fpp7-x2x2-2mjf

CVE-2026-63030 — Route-Verwechslung im REST-Batch-Endpunkt macht die Injektion vorauthentifiziert (kritisch)

Der eigentliche Schweregrad des Tages entsteht aus der Verkettung. Der REST-API-Batch-Endpunkt von WordPress (/wp-json/batch/v1), der mehrere API-Aufrufe in einer einzigen Anfrage bündelt, weist eine Route-Verwechslung auf (CWE-436, Interpretation Conflict): Der Endpunkt interpretiert die zusammengefassten Teil-Anfragen anders, als es die für die einzelnen Routen vorgesehenen Zugriffsprüfungen erwarten. Dadurch lässt sich die oben beschriebene SQL-Injection, die für sich genommen nur einem angemeldeten Nutzer beziehungsweise über ein zuliefernedes Plugin erreichbar wäre, ohne jede Anmeldung ansprechen. Aus der Kombination entsteht der vollständige, vorauthentifizierte Pfad, der von der SQL-Injection bis zur Remote-Code-Ausführung reicht und in der Berichterstattung als „wp2shell” bezeichnet wird. Die zuteilende Stelle (WPScan als CNA) bewertet diese Kette als kritisch mit einem CVSS-Wert von 9,8 (Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H); die ergänzende CISA-ADP-Bewertung liegt bei 7,5. Betroffen von der Route-Verwechslung sind die Zweige 6.9.0 bis 6.9.4 sowie 7.0.0 bis 7.0.1 — die vollständige, anmeldungsfreie Kette trifft also diese Versionen; im Zweig 6.8.x liegt nur die zugrunde liegende SQL-Injection vor. Behoben ist die Lücke in den Versionen 6.9.5 und 7.0.2.

Quellen: National Vulnerability Database — CVE-2026-63030 · WordPress-Sicherheitsadvisory GHSA-ff9f-jf42-662q

Was Betreiber jetzt tun sollten

Das WordPress-Sicherheitsteam stuft die Angelegenheit als so gravierend ein, dass es erzwungene Hintergrund-Aktualisierungen über das Auto-Update-System für alle betroffenen Installationen ausgelöst hat. Auf Websites, bei denen automatische Aktualisierungen aktiv sind, sollte das Update daher bereits eingespielt werden oder in Kürze anlaufen. Verlassen Sie sich dennoch nicht allein darauf: Prüfen Sie im Dashboard unter „Aktualisierungen” die installierte Kern-Version und stellen Sie sicher, dass sie auf 7.0.2, 6.9.5 oder 6.8.6 (je nach Zweig) steht. Wo automatische Kern-Updates deaktiviert wurden — etwa durch eine Konstante in der wp-config.php oder durch ein Management-Werkzeug — muss das Update umgehend von Hand nachgezogen werden. Da für die vollständige Kette ein öffentlich beschriebener Ausnutzungsweg existiert und der REST-Batch-Endpunkt ohne Anmeldung erreichbar ist, ist rasches Handeln geboten; eine vorübergehende Absicherung des Endpunkts /wp-json/batch/v1 über eine Zugriffsregel kann die Angriffsfläche überbrücken, ersetzt aber nicht das Update.

Quellen: WordPress 7.0.2 Security Release

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.


Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.