Laut WordPress beheben 6.9.5 und 7.0.2 eine Remote-Code-Execution vor der Authentifizierung im Core. Ausgelöst werden kann sie durch eine anonyme Anfrage gegen eine Standardinstallation ohne Plugins. Auch 7.1 beta2 enthält denselben Fix. Für Installationen auf 6.8 steht ebenfalls ein Update bereit, doch WordPress 6.8.6 behebt laut Quelle eine zweite SQL-Injection-Schwachstelle aus derselben Update-Runde, die von einem anderen Team gemeldet wurde.

WordPress beschreibt den von Adam Kues gemeldeten Fehler präziser als die Forscher selbst. Im Beitrag zur Veröffentlichung nennt das Projekt die Ursache „eine Verwechslung in einer Batch-Route der REST API und eine SQL-Injection-Schwachstelle, die zu Remote Code Execution führt“. Das Update behebt nach Angaben von WordPress eine kritische und eine hoch eingestufte Schwachstelle; welche der beiden Befunde welcher Einstufung entspricht, wurde nicht offengelegt.

Die Versionsseite nennt drei in WordPress 7.0.2 geänderte Dateien, die beide Korrekturen abdecken: /wp-includes/rest-api/class-wp-rest-server.php, /wp-includes/class-wp-query.php und /wp-includes/rest-api.php. Der betroffene Batch-Endpunkt ist nicht neu. Laut Quelle gibt es ihn seit WordPress 5.6, und das Anfrageformat ist seitdem öffentlich dokumentiert. Welche Änderung in Version 6.9 die Lücke erst möglich gemacht hat, wurde bislang nicht erklärt.

Searchlight Cyber hält die technischen Details vorerst zurück und bietet stattdessen unter wp2shell.com einen Prüfdienst an, mit dem Betreiber ihre eigene Instanz testen können. Als Übergangsmaßnahmen nennt das Unternehmen ausschließlich Schritte, die anonyme Zugriffe auf den Batch-Endpunkt unterbinden sollen. Diese Maßnahmen seien jedoch nur Provisorien bis zum Update und könnten legitime Integrationen stören.

Erschwert wird die Einordnung durch fehlende Standardkennungen. Weder die Hinweise von WordPress noch die Analyse von Searchlight Cyber nennen eine CVE-ID oder einen CVSS-Wert; bis zum 18. Juli war laut Quelle auch noch kein CVE-Eintrag veröffentlicht. Systeme, die Schwachstellen rein anhand von CVE-Nummern erfassen, schlagen deshalb nicht an. Auch CISA kann ohne CVE nichts in den KEV-Katalog aufnehmen. Die Quelle empfiehlt daher, die Betroffenheit über Versionsstände statt über CVE-Abgleich zu prüfen.

Searchlight Cyber schätzt, dass mehr als 500 Millionen Websites WordPress einsetzen. Diese Zahl beschreibt jedoch laut Quelle die gesamte Installationsbasis, nicht die tatsächlich verwundbare Menge. Der fehlerhafte Code ist erst ab Version 6.9 enthalten, und WordPress 6.9 erschien am 2. Dezember 2025. Wie viele Installationen konkret betroffen sind, sagen weder WordPress noch Searchlight Cyber.

Bis zum 18. Juli lagen keine Berichte über Ausnutzungsversuche vor. Zugleich weist die Quelle darauf hin, dass WordPress 7.0.1 und 7.0.2 im öffentlichen Release-Archiv verfügbar sind und sich damit vergleichen lassen. Gerade bei Open-Source-Projekten entsteht daraus ein bekanntes Spannungsfeld: Mit dem Fix wird auch die Spur zur Schwachstelle veröffentlicht, entscheidend ist dann vor allem, wie schnell die Patches die Installationen erreichen.