Kritische RCE-Lücke in WordPress Core (CVE-2026-63030)


Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Am 17. Juli 2026 wurde eine kritische Sicherheitslücke im Kern des Content-Management-Systems WordPress offengelegt. Die Schwachstelle, katalogisiert als CVE-2026-63030, ermöglicht Angreifern die Ausführung von beliebigem Code (Remote Code Execution, RCE) auf betroffenen Servern. Ein offizieller CVSS-Score wurde zum Zeitpunkt der Veröffentlichung noch nicht durch NVD/MITRE vergeben; Cloudflare stuft die Schwachstelle in ihrer Analyse als Critical ein. Da der Angriff keine Authentifizierung erfordert und laut Cloudflare gegen Installationen ohne persistenten Object-Cache erfolgreich ist, stellt er ein erhebliches Risiko für Betreiber von WordPress-Websites dar.

Die Sicherheitslücke, auch als „wp2shell“ bekannt, ist das Ergebnis einer Verkettung zweier Schwachstellen: einer „Batch-Route Confusion“ in der REST API und einer SQL-Injection-Lücke (CVE-2026-60137). Aufgrund der hohen Kritikalität hat das WordPress-Sicherheitsteam für betroffene Installationen ein erzwungenes automatisches Update aktiviert, eine Maßnahme, die nur bei schwerwiegenden Bedrohungen ergriffen wird.