Im Kern geht es nicht um eine einzelne Schwachstelle, sondern um zwei unabhängige Fehler, die sich zu einer Angriffskette verknüpfen lassen. Nach Angaben von Searchlight Cyber ermöglicht diese Kette Remotecodeausführung vor einer Anmeldung auf Standardinstallationen von WordPress. Das Unternehmen betont, der Angriff habe keine Vorbedingungen und sei durch einen anonymen Nutzer auf einer unveränderten WordPress-Installation ohne Plugins ausnutzbar.

Die erste Schwachstelle, CVE-2026-63030, ist eine Verwechslung von Batch-Routen in der REST-API und wurde mit WordPress 6.9 eingeführt. Laut dem GitHub-Hinweis kann sie zusammen mit der zweiten Lücke zur Remotecodeausführung genutzt werden. Bei der zweiten Schwachstelle, CVE-2026-60137, handelt es sich um eine SQL-Injection im Parameter „author__not_in“ von „WP_Query“. WordPress beschreibt sie als hochriskante SQL-Injection, die WordPress 6.8 und neuer betrifft.

Nach den WordPress-Hinweisen betrifft die vollständige RCE-Kette WordPress 6.9.0 bis 6.9.4 sowie WordPress 7.0.0 bis 7.0.1. Die SQL-Injection allein trifft auch WordPress 6.8.0 bis 6.8.5, lässt sich dort aber nicht zu Remotecodeausführung verketten, weil der Fehler in der REST-API-Batch-Routenlogik erst mit WordPress 6.9 hinzugekommen ist. Behoben wurde die vollständige „wp2shell“-Kette in WordPress 6.9.5 und 7.0.2.

Wegen der Tragweite hat das WordPress-Sicherheitsteam automatische Zwangsupdates für unterstützte Installationen mit betroffenen Versionen aktiviert. In seiner Sicherheitsmitteilung empfiehlt WordPress, betroffene Websites umgehend zu aktualisieren. Searchlight Cyber schätzt, dass mehr als 500 Millionen Websites WordPress einsetzen, was das mögliche Ausmaß der Schwachstellen zusätzlich erhöht.

Searchlight Cyber hält technische Details derzeit noch zurück, um Administratoren Zeit zum Patchen zu geben. Stattdessen hat das Unternehmen die Website wp2shell.com eingerichtet, über die sich prüfen lässt, ob eine WordPress-Installation verwundbar ist. Für Organisationen, die nicht sofort aktualisieren können, empfiehlt Searchlight Cyber Ausweichmaßnahmen, weist aber ausdrücklich darauf hin, dass diese nur vorübergehend eingesetzt werden sollten, bis die Systeme aktualisiert sind.

Auch Cloudflare hat reagiert und nach eigenen Angaben WAF-Schutzregeln für beide Schwachstellen auf allen Tarifen ausgerollt, einschließlich kostenloser Konten, sofern der Datenverkehr über die eigene Plattform geleitet wird. Laut Cloudflare blockieren die Regeln sowohl Ausnutzungsversuche für die SQL-Injection CVE-2026-60137 als auch für die REST-API-Schwachstelle CVE-2026-63030. Zugleich betont das Unternehmen, WAF-Schutz senke die Angriffsfläche während der Aktualisierung, ersetze aber kein Patchen.

Inzwischen sind auf GitHub mehrere öffentliche Proof-of-Concept-Exploits erschienen. Einige davon kombinieren beide Schwachstellen, um per SQL-Injection Passwort-Hashes von WordPress zu extrahieren, anschließend ein Administratorpasswort zu knacken, sich anzumelden, ein bösartiges Plugin hochzuladen und Befehle auszuführen. Andere Proof-of-Concepts beanspruchen dagegen Remotecodeausführung ohne Anmeldung und ohne Administratorzugang, was eher der Beschreibung von Searchlight Cyber entspricht. BleepingComputer hat Searchlight Cyber kontaktiert, um zu bestätigen, dass die Angriffskette kein Administratorpasswort benötigt.

Nach Angaben des Sicherheitsunternehmens watchTowr gibt es nach Veröffentlichung der öffentlichen Exploits bereits Ausnutzungsversuche in freier Wildbahn. watchTowr-Chef Benjamin Harris sagte gegenüber BleepingComputer, besonders folgenreiche SQL-Injection- oder RCE-Schwachstellen ohne Anmeldung in WordPress Core seien eher selten. Genau das mache diesen Fall besonders und erkläre, warum derzeit viele Beteiligte schnell patchen wollten; das Team sehe bereits kursierende Proof-of-Concepts und erste Anzeichen realer Ausnutzung.