Kritische RCE-Lücke in WordPress Core (CVE-2026-63030)
Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Am 17. Juli 2026 wurde eine kritische Sicherheitslücke im Kern des Content-Management-Systems WordPress offengelegt. Die Schwachstelle, katalogisiert als CVE-2026-63030, ermöglicht Angreifern die Ausführung von beliebigem Code (Remote Code Execution, RCE) auf betroffenen Servern. Ein offizieller CVSS-Score wurde zum Zeitpunkt der Veröffentlichung noch nicht durch NVD/MITRE vergeben; Cloudflare stuft die Schwachstelle in ihrer Analyse als Critical ein. Da der Angriff keine Authentifizierung erfordert und laut Cloudflare gegen Installationen ohne persistenten Object-Cache erfolgreich ist, stellt er ein erhebliches Risiko für Betreiber von WordPress-Websites dar.
Die Sicherheitslücke, auch als „wp2shell“ bekannt, ist das Ergebnis einer Verkettung zweier Schwachstellen: einer „Batch-Route Confusion“ in der REST API und einer SQL-Injection-Lücke (CVE-2026-60137). Aufgrund der hohen Kritikalität hat das WordPress-Sicherheitsteam für betroffene Installationen ein erzwungenes automatisches Update aktiviert, eine Maßnahme, die nur bei schwerwiegenden Bedrohungen ergriffen wird.
Technischer Hintergrund und Angriffsablauf
Der Angriffspunkt ist der öffentlich zugängliche Endpunkt /wp-json/batch/v1 der WordPress REST API. Eine fehlerhafte Logik in der Verarbeitungsroutine für gebündelte Anfragen in der Datei class-wp-rest-server.php erlaubt es, die interne Routen-Validierung zu umgehen. Dadurch können Angreifer Anfragen an interne API-Funktionen senden, die normalerweise eine Authentifizierung erfordern.
In einem zweiten Schritt wird dieser unautorisierte Zugriff genutzt, um eine SQL-Injection-Schwachstelle in der Datei class-wp-query.php auszunutzen. Dies ermöglicht das Einschleusen und Ausführen von manipulierten SQL-Befehlen in der Datenbank, was letztlich zur vollständigen Kompromittierung des Systems durch Remote Code Execution führt.
Die Schwachstelle wurde von Adam Kues (Searchlight Cyber) im Rahmen eines Responsible-Disclosure-Prozesses gemeldet. Die begleitende SQL-Injection wurde von einem Team aus TF1T, dtro und haongo aufgedeckt.
Betroffene Versionen und empfohlene Maßnahmen
Für alle Betreiber von WordPress-Websites ist sofortiges Handeln erforderlich. Die primäre Maßnahme ist die Aktualisierung auf eine gesicherte Version.
Von der RCE-Schwachstelle (CVE-2026-63030) betroffene Versionen:
WordPress 6.9.0 bis 6.9.4
WordPress 7.0.0 bis 7.0.1
Von der SQL-Injection-Schwachstelle (CVE-2026-60137) betroffene Versionen:
WordPress 6.8.0 bis 6.8.5
Sofortmaßnahmen:
Update auf Version 7.0.2: Behebt beide Schwachstellen.
Update auf Version 6.9.5: Behebt beide Schwachstellen für den 6.9.x-Zweig.
Update auf Version 6.8.6: Behebt die SQL-Injection-Lücke für den 6.8.x-Zweig.
Kurzfristige Eindämmung (falls ein Update nicht sofort möglich ist):
Blockieren des Pfades /wp-json/batch/v1 sowie ?rest_route=/batch/v1 über eine Web Application Firewall (WAF).
Zeitweilige Deaktivierung der WordPress REST API, falls diese nicht zwingend benötigt wird.
Relevanz für DACH-Unternehmen und Compliance
WordPress ist eine der weltweit am häufigsten eingesetzten Plattformen — entsprechend groß ist die potenzielle Betroffenheit auch im DACH-Raum. Unternehmen, die WordPress für öffentliche Auftritte, Kundenportale oder interne Microsites betreiben, sollten unverzüglich prüfen, ob ihre Installationen auf einem gepatchten Stand sind. Sofern durch eine Ausnutzung der Schwachstelle personenbezogene Daten kompromittiert wurden, greift die Meldepflicht gemäß DSGVO Art. 33 (72-Stunden-Frist gegenüber der zuständigen Aufsichtsbehörde). Für Betreiber, die unter die NIS-2-Richtlinie fallen, kann ein erfolgreicher Angriff darüber hinaus Meldepflichten nach Art. 23 NIS-2 auslösen. Das BSI empfiehlt generell, verfügbare Sicherheitsupdates für exponierte Webanwendungen ohne Verzögerung einzuspielen.
Sichtbarkeit als Grundlage für Cybersicherheit und Compliance
Schwachstellen wie CVE-2026-63030 verdeutlichen die Notwendigkeit einer vollständigen und kontinuierlichen Übersicht über alle extern erreichbaren IT-Systeme. Eine External Attack Surface Management (EASM) Plattform wie LocateRisk inventarisiert automatisiert die gesamte Angriffsfläche eines Unternehmens. Dies schließt nicht nur die primäre Unternehmenswebsite ein, sondern auch oft übersehene Systeme der Schatten-IT, wie vergessene Marketing-Blogs, Testumgebungen oder Microsites, die ebenfalls auf einer verwundbaren WordPress-Version laufen könnten.
Durch die präzise Identifikation der eingesetzten Softwareversionen können Sicherheitsteams betroffene Systeme gezielt und ohne Verzögerung absichern. Dieser Prozess ist ein wesentlicher Bestandteil des Risikomanagements und unterstützt die Einhaltung von regulatorischen Anforderungen und Standards wie NIS-2 oder ISO 27001, die ein aktives Schwachstellenmanagement fordern.
Darüber hinaus ist die Überwachung von Dienstleistern im Rahmen des Vendor Risk Managements (VRM) entscheidend. Betreibt eine externe Agentur eine WordPress-Seite für Ihr Unternehmen, wird deren Sicherheitslücke zu Ihrem Risiko. LocateRisk unterstützt die kontinuierliche Bewertung der Sicherheitslage von Lieferanten und hilft dabei, zu erkennen, ob auch deren Systeme den geltenden Compliance-Anforderungen gerecht werden. Die Plattform wird in zertifizierten deutschen Rechenzentren betrieben und unterstützt Kunden bei der Erfüllung von DSGVO-Anforderungen.
Die Schwachstelle zur Remote Code Execution betrifft die WordPress-Versionen 6.9.0 bis 6.9.4 sowie die Versionen 7.0.0 und 7.0.1. WordPress-Installationen unterhalb von Version 6.9.0 sind von der RCE-Schwachstelle nicht betroffen.
Ja, Ihre Installation ist nicht von der RCE-Schwachstelle betroffen. Sie ist jedoch anfällig für die begleitende SQL-Injection-Lücke CVE-2026-60137. Ein Update auf Version 6.8.6 wird dringend empfohlen.
Ja, das WordPress-Team hat am 17. Juli 2026 Sicherheitsupdates veröffentlicht. Je nach Ihrer aktuellen Version sollten Sie auf WordPress 7.0.2, 6.9.5 oder 6.8.6 aktualisieren. WordPress hat für betroffene Versionen zudem erzwungene automatische Updates aktiviert.
Fragen Sie jetzt Ihre persönliche Live-Demo an
Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verständlichen Überblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der Lösung Ihrer Cyberrisiken helfen kann.
Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!
We use cookies to optimize our website and our service.
Functional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistics
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.