{"id":9181,"date":"2026-07-18T09:07:21","date_gmt":"2026-07-18T09:07:21","guid":{"rendered":"https:\/\/locaterisk.com\/de\/?p=9181"},"modified":"2026-07-18T09:07:21","modified_gmt":"2026-07-18T09:07:21","slug":"wordpress-core-rce-wp2shell-6-9-7-0","status":"publish","type":"post","link":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/","title":{"rendered":"Kritische RCE-L\u00fccke in WordPress Core (CVE-2026-63030)"},"content":{"rendered":"\r\n<div class=\"wp-block-lr-blog-article-header-module\">\r\n    <div class=\"content\">\r\n\t\t<div class=\"headline\">\r\n\t\t\t<button class=\"to-blog-button\">Back to blog                <a href=\"https:\/\/locaterisk.com\/de\/blog\/\"><\/a>\r\n\t\t\t<\/button>\r\n\t\t\t\t\t<\/div>\r\n        <div class=\"main-content\">\r\n\t\t\t\t\t\t<!--\r\n            <div class=\"header\">\r\n                <h6> <\/h6>\r\n            <\/div>\r\n\t\t\t\t\t\t-->\r\n            <h1 class=\"title\">Kritische RCE-L\u00fccke in WordPress Core (CVE-2026-63030)<\/h1>\r\n            <p class=\"paragraph\"><br><span class=\"lr-ai-disclosure\" style=\"display:block;margin:8px 0 28px;font-size:14px;line-height:1.4;color:#8b93a7;font-family:inherit;font-style:italic;\">Dieser Text wurde mit k\u00fcnstlicher Intelligenz (KI) erstellt.<\/span>Am 17. Juli 2026 wurde eine kritische Sicherheitsl\u00fccke im Kern des Content-Management-Systems WordPress offengelegt. Die Schwachstelle, katalogisiert als <strong>CVE-2026-63030<\/strong>, erm\u00f6glicht Angreifern die Ausf\u00fchrung von beliebigem Code (Remote Code Execution, RCE) auf betroffenen Servern. Ein offizieller CVSS-Score wurde zum Zeitpunkt der Ver\u00f6ffentlichung noch nicht durch NVD\/MITRE vergeben; Cloudflare stuft die Schwachstelle in ihrer Analyse als <strong>Critical<\/strong> ein. Da der Angriff keine Authentifizierung erfordert und laut Cloudflare gegen Installationen ohne persistenten Object-Cache erfolgreich ist, stellt er ein erhebliches Risiko f\u00fcr Betreiber von WordPress-Websites dar.<br><br>Die Sicherheitsl\u00fccke, auch als \u201ewp2shell&#8220; bekannt, ist das Ergebnis einer Verkettung zweier Schwachstellen: einer \u201eBatch-Route Confusion&#8220; in der REST API und einer SQL-Injection-L\u00fccke (<strong>CVE-2026-60137<\/strong>). Aufgrund der hohen Kritikalit\u00e4t hat das WordPress-Sicherheitsteam f\u00fcr betroffene Installationen ein erzwungenes automatisches Update aktiviert, eine Ma\u00dfnahme, die nur bei schwerwiegenden Bedrohungen ergriffen wird.<\/p>\r\n        <\/div>\r\n    <\/div>\r\n<\/div>\r\n\r\n\r\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"400\" height=\"400\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/third-party-vulnerability.png\" alt=\"Kritische RCE-L\u00fccke in WordPress Core (CVE-2026-63030)\" class=\"wp-image-9139\" srcset=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/third-party-vulnerability.png 400w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/third-party-vulnerability-300x300.png 300w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/third-party-vulnerability-150x150.png 150w, https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/third-party-vulnerability-12x12.png 12w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/><\/figure><\/div>\n\n\n<h2 class=\"wp-block-heading\"><strong>Technischer Hintergrund und Angriffsablauf<\/strong><\/h2>\n\n\n\n<p>Der Angriffspunkt ist der \u00f6ffentlich zug\u00e4ngliche Endpunkt <strong>\/wp-json\/batch\/v1<\/strong> der WordPress REST API. Eine fehlerhafte Logik in der Verarbeitungsroutine f\u00fcr geb\u00fcndelte Anfragen in der Datei <strong>class-wp-rest-server.php<\/strong> erlaubt es, die interne Routen-Validierung zu umgehen. Dadurch k\u00f6nnen Angreifer Anfragen an interne API-Funktionen senden, die normalerweise eine Authentifizierung erfordern.<\/p>\n\n\n\n<p>In einem zweiten Schritt wird dieser unautorisierte Zugriff genutzt, um eine SQL-Injection-Schwachstelle in der Datei <strong>class-wp-query.php<\/strong> auszunutzen. Dies erm\u00f6glicht das Einschleusen und Ausf\u00fchren von manipulierten SQL-Befehlen in der Datenbank, was letztlich zur vollst\u00e4ndigen Kompromittierung des Systems durch Remote Code Execution f\u00fchrt.<\/p>\n\n\n\n<p>Die Schwachstelle wurde von Adam Kues (Searchlight Cyber) im Rahmen eines Responsible-Disclosure-Prozesses gemeldet. Die begleitende SQL-Injection wurde von einem Team aus TF1T, dtro und haongo aufgedeckt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Betroffene Versionen und empfohlene Ma\u00dfnahmen<\/strong><\/h2>\n\n\n\n<p>F\u00fcr alle Betreiber von WordPress-Websites ist sofortiges Handeln erforderlich. Die prim\u00e4re Ma\u00dfnahme ist die Aktualisierung auf eine gesicherte Version.<\/p>\n\n\n\n<p><strong>Von der RCE-Schwachstelle (CVE-2026-63030) betroffene Versionen:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>WordPress 6.9.0 bis 6.9.4<\/li>\n\n\n\n<li>WordPress 7.0.0 bis 7.0.1<\/li>\n<\/ul>\n\n\n\n<p><strong>Von der SQL-Injection-Schwachstelle (CVE-2026-60137) betroffene Versionen:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>WordPress 6.8.0 bis 6.8.5<\/li>\n<\/ul>\n\n\n\n<p><strong>Sofortma\u00dfnahmen:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Update auf Version <a href=\"https:\/\/wordpress.org\/news\/2026\/07\/wordpress-7-0-2-release\/\" target=\"_blank\" rel=\"noreferrer noopener\">7.0.2<\/a>:<\/strong> Behebt beide Schwachstellen.<\/li>\n\n\n\n<li><strong>Update auf Version 6.9.5:<\/strong> Behebt beide Schwachstellen f\u00fcr den 6.9.x-Zweig.<\/li>\n\n\n\n<li><strong>Update auf Version 6.8.6:<\/strong> Behebt die SQL-Injection-L\u00fccke f\u00fcr den 6.8.x-Zweig.<\/li>\n<\/ul>\n\n\n\n<p><strong>Kurzfristige Eind\u00e4mmung (falls ein Update nicht sofort m\u00f6glich ist):<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Blockieren des Pfades <strong>\/wp-json\/batch\/v1<\/strong> sowie <strong>?rest_route=\/batch\/v1<\/strong> \u00fcber eine Web Application Firewall (WAF).<\/li>\n\n\n\n<li>Zeitweilige Deaktivierung der WordPress REST API, falls diese nicht zwingend ben\u00f6tigt wird.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Relevanz f\u00fcr DACH-Unternehmen und Compliance<\/strong><\/h2>\n\n\n\n<p>WordPress ist eine der weltweit am h\u00e4ufigsten eingesetzten Plattformen \u2014 entsprechend gro\u00df ist die potenzielle Betroffenheit auch im DACH-Raum. Unternehmen, die WordPress f\u00fcr \u00f6ffentliche Auftritte, Kundenportale oder interne Microsites betreiben, sollten unverz\u00fcglich pr\u00fcfen, ob ihre Installationen auf einem gepatchten Stand sind. Sofern durch eine Ausnutzung der Schwachstelle personenbezogene Daten kompromittiert wurden, greift die Meldepflicht gem\u00e4\u00df DSGVO Art. 33 (72-Stunden-Frist gegen\u00fcber der zust\u00e4ndigen Aufsichtsbeh\u00f6rde). F\u00fcr Betreiber, die unter die NIS-2-Richtlinie fallen, kann ein erfolgreicher Angriff dar\u00fcber hinaus Meldepflichten nach Art. 23 NIS-2 ausl\u00f6sen. Das BSI empfiehlt generell, verf\u00fcgbare Sicherheitsupdates f\u00fcr exponierte Webanwendungen ohne Verz\u00f6gerung einzuspielen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Sichtbarkeit als Grundlage f\u00fcr Cybersicherheit und Compliance<\/strong><\/h2>\n\n\n\n<p>Schwachstellen wie <strong>CVE-2026-63030<\/strong> verdeutlichen die Notwendigkeit einer vollst\u00e4ndigen und kontinuierlichen \u00dcbersicht \u00fcber alle extern erreichbaren IT-Systeme. Eine External Attack Surface Management (EASM) Plattform wie LocateRisk inventarisiert automatisiert die gesamte Angriffsfl\u00e4che eines Unternehmens. Dies schlie\u00dft nicht nur die prim\u00e4re Unternehmenswebsite ein, sondern auch oft \u00fcbersehene Systeme der Schatten-IT, wie vergessene Marketing-Blogs, Testumgebungen oder Microsites, die ebenfalls auf einer verwundbaren WordPress-Version laufen k\u00f6nnten.<\/p>\n\n\n\n<p>Durch die pr\u00e4zise Identifikation der eingesetzten Softwareversionen k\u00f6nnen Sicherheitsteams betroffene Systeme gezielt und ohne Verz\u00f6gerung absichern. Dieser Prozess ist ein wesentlicher Bestandteil des Risikomanagements und unterst\u00fctzt die Einhaltung von regulatorischen Anforderungen und Standards wie NIS-2 oder ISO 27001, die ein aktives Schwachstellenmanagement fordern.<\/p>\n\n\n\n<p>Dar\u00fcber hinaus ist die \u00dcberwachung von Dienstleistern im Rahmen des Vendor Risk Managements (VRM) entscheidend. Betreibt eine externe Agentur eine WordPress-Seite f\u00fcr Ihr Unternehmen, wird deren Sicherheitsl\u00fccke zu Ihrem Risiko. LocateRisk unterst\u00fctzt die kontinuierliche Bewertung der Sicherheitslage von Lieferanten und hilft dabei, zu erkennen, ob auch deren Systeme den geltenden Compliance-Anforderungen gerecht werden. Die Plattform wird in zertifizierten deutschen Rechenzentren betrieben und unterst\u00fctzt Kunden bei der Erf\u00fcllung von DSGVO-Anforderungen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Quellen und weitere Infos<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>WordPress.org Security Release (offiziell):<\/strong> <a href=\"https:\/\/wordpress.org\/news\/2026\/07\/wordpress-7-0-2-release\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/wordpress.org\/news\/2026\/07\/wordpress-7-0-2-release\/<\/a><\/li>\n\n\n\n<li><strong>Cloudflare Analyse:<\/strong> <a href=\"https:\/\/blog.cloudflare.com\/wordpress-vulnerabilities\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/blog.cloudflare.com\/wordpress-vulnerabilities\/<\/a><\/li>\n\n\n\n<li><strong>The Hacker News Bericht:<\/strong> <a href=\"https:\/\/thehackernews.com\/2026\/07\/new-wp2shell-wordpress-core-flaw-lets.html\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/thehackernews.com\/2026\/07\/new-wp2shell-wordpress-core-flaw-lets.html<\/a><\/li>\n<\/ul>\n\n\n\n<div class=\"wp-block-lr-faq-module\"><div class=\"content\"><h3><strong>H\u00e4ufige Fragen<\/strong><\/h3><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Welche WordPress-Versionen sind von der RCE-L\u00fccke CVE-2026-63030 betroffen?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Die Schwachstelle zur Remote Code Execution betrifft die WordPress-Versionen 6.9.0 bis 6.9.4 sowie die Versionen 7.0.0 und 7.0.1. WordPress-Installationen unterhalb von Version 6.9.0 sind von der RCE-Schwachstelle nicht betroffen.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Ist meine WordPress 6.8-Installation sicher vor CVE-2026-63030?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Ja, Ihre Installation ist nicht von der RCE-Schwachstelle betroffen. Sie ist jedoch anf\u00e4llig f\u00fcr die begleitende SQL-Injection-L\u00fccke <strong>CVE-2026-60137<\/strong>. Ein Update auf Version <strong>6.8.6<\/strong> wird dringend empfohlen.<\/p><\/div><\/div><div class=\"faq-topic\"><hr\/><div class=\"collapsible-title\"><a class=\"pr-4\"><strong>Gibt es bereits einen Patch f\u00fcr CVE-2026-63030?<\/strong><\/a><img class=\"collapse-toggle\" srcset=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@3x.png 3x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus@2x.png 2x,https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/faq-module\/img\/ic-plus.png 1x\"\/><\/div><div class=\"collapsible-content\"><p class=\"font-normal\">Ja, das WordPress-Team hat am 17. Juli 2026 Sicherheitsupdates ver\u00f6ffentlicht. Je nach Ihrer aktuellen Version sollten Sie auf <strong>WordPress 7.0.2<\/strong>, <strong>6.9.5<\/strong> oder <strong>6.8.6<\/strong> aktualisieren. WordPress hat f\u00fcr betroffene Versionen zudem erzwungene automatische Updates aktiviert.<\/p><\/div><\/div><\/div><\/div>\n\n\n\n<div class=\"wp-block-lr-contact-post-module\">\n\t<div id=\"lr-contact-form\" class=\"wp-block-lr-contact-post-module\">\n\t\t<div id=\"formular\" class=\"content\">\n\t\t\t<div class=\"inner-content\">\n\t\t\t\t<div class=\"column-2 feature-mode\">\n\t\t\t\t\t<h2><br>Fragen Sie jetzt Ihre pers\u00f6nliche Live-Demo an<\/h2>\n\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\t\t\t<div>\n\t\t\t\t\t\t\t\t<p class=\"margin-b-36\">Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verst\u00e4ndlichen \u00dcberblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der L\u00f6sung Ihrer Cyberrisiken helfen kann.<\/p>\n\t\t\t\t\t\t\t<\/div>\t\n\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t<\/div> \n\t\t\t\t<div class=\"column-2\">\n\t\t\t\t\t<form action=\"\" class=\"form\" method=\"post\" role=\"form\" novalidate >\n\t\t\t\t\t\t<input type=\"text\" id=\"successmessage\" name=\"successmessage\" value=\"Ihre Registrierung war erfolgreich Ihre Anfrage wurde erfolgreich versendet. Wir haben Ihnen soeben eine Best\u00e4tigungsmail mit einem Aktivierungs-Link zugesendet, um einem Missbrauch Ihrer E-Mail Adresse durch Dritte vorzubeugen. Die Mail wird von sales@locaterisk.com versendet und sollte sich i n wenigen Minuten in Ihrem Posteingang finden.\" hidden\/>\n\t\t\t\t\t\t<input type=\"text\" id=\"errormessage\" name=\"errormessage\" value=\"Da ist wohl etwas schief gelaufen. Bitte probieren Sie es erneut oder nehmen Sie direkt mit uns Kontakt auf\" hidden\/>\n\t\t\t\t\t\t<input type=\"text\" id=\"slug\" name=\"slug\" value=\"wordpress-core-rce-wp2shell-6-9-7-0\" hidden\/>\n\n\t\t\t\t\t\t\t\t\t\t\t\t\t<input\n\t\t\t\t\t\t\t\ttype=\"text\"\n\t\t\t\t\t\t\t\tid=\"name\"\n\t\t\t\t\t\t\t\tname=\"name\"\n\t\t\t\t\t\t\t\tplaceholder=\"Vorname\"\n\t\t\t\t\t\t\t\trequired \n\t\t\t\t\t\t\t\tmaxlength=\"50\"\/>\n\n\t\t\t\t\t\t\t<input\n\t\t\t\t\t\t\t\ttype=\"text\"\n\t\t\t\t\t\t\t\tid=\"surname\"\n\t\t\t\t\t\t\t\tname=\"surname\"\n\t\t\t\t\t\t\t\tplaceholder=\"Nachname\"\n\t\t\t\t\t\t\t\trequired\n\t\t\t\t\t\t\t\tmaxlength=\"50\"\/>\n\t\t\t\t\t\t\n\t\t\t\t\t\t<input\n\t\t\t\t\t\t\ttype=\"email\"\n\t\t\t\t\t\t\tid=\"email\"\n\t\t\t\t\t\t\tname=\"email\"\n\t\t\t\t\t\t\tplaceholder=\"E-Mail\"\n\t\t\t\t\t\t\trequired\n\t\t\t\t\t\t\tmaxlength=\"50\"\/>\n\n\t\t\t\t\t\t<input\n\t\t\t\t\t\t\ttype=\"text\"\n\t\t\t\t\t\t\tid=\"phone\"\n\t\t\t\t\t\t\tname=\"phone\"\n\t\t\t\t\t\t\tplaceholder=\"Telefon\"\n\t\t\t\t\t\t\trequired\n\t\t\t\t\t\t\tmaxlength=\"50\"\/>\n\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t<h6 class=\"error-message\" hidden>...<\/h6>\n\t\t\t\t\t\t<div class=\"checkbox_container\">\n\t\t\t\t\t\t\t<div class=\"checkbox\">\n\t\t\t\t\t\t\t\t<input\n\t\t\t\t\t\t\t\t\ttype=\"checkbox\"\n\t\t\t\t\t\t\t\t\tid=\"checkbox\"\n\t\t\t\t\t\t\t\t\tname=\"checkbox\" \/>\n\n\t\t\t\t\t\t\t\t<label for=\"checkbox\"><\/label>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<p>Ich bin mit den <a href=\"https:\/\/locaterisk.com\/datenschutz\/\">Datenschutzbestimmungen<\/a> einverstanden<\/p> \n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\n\t\t\t\t\t<div class=\"g-recaptcha\" data-sitekey=\"6LdErNoZAAAAAD1Re2jNxtDFfcDaL9iED5MRBzjR\" data-callback=\"verifyRecaptchaCallback\" data-expired-callback=\"expiredRecaptchaCallback\"><\/div>\n\t\t\t\t\t<input type=\"hidden\" name=\"g-recaptcha-response\" data-recaptcha \/>\n\n\t\t\t\t\t\t<button class=\"lr-button-link\" type=\"submit\"> Demo anfragen<\/button>\n\t\t\t\t\t<\/form>\n\t\t\t\t<\/div>\n\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\t\n\t<\/div>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity is-style-wide\"\/>\n\n\n\n<div class=\"wp-block-lr-contact-module\"><div class=\"content\"><h2>Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!<\/h2><div class=\"contact-info-row\"><div class=\"contact-person-info\"><div class=\"avatar\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2025\/06\/Lukas_Baumann_LocateRisk-300.png\"><\/div><p><span class=\"text before\">Ihr Ansprechpartner<\/span><span class=\"bold name\"><strong>Lukas<\/strong><\/span> <span class=\"lastname\"><strong>Baumann<strong><\/strong><\/strong><\/span><strong><strong><span class=\"separator\"><\/span><span class=\"role\">CEO<\/span><\/strong><\/strong><\/p><\/div><p class=\"bold phone\"><strong><strong>+49 6151 6290246<\/strong><\/strong><\/p><strong><strong><a class=\"pr-1\" href=\"mailto: sales@locaterisk.com\">Jetzt Kontakt aufnehmen<\/a><\/strong><\/strong><\/div><\/div><\/div>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<div class=\"wp-block-lr-footer-module lr-footer-block\"><div class=\"content\"><div class=\"column0\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/plugins\/locate-risk-prod\/lr-blocks\/assets\/img\/lr-logo.svg\"\/><\/div><div class=\"categories\"><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/locaterisk.com\/\">Home<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/blog\">Blog<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/about\">\u00dcber uns<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/kontakt\">Kontakt<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/impressum\">Impressum<\/a><\/div><div class=\"categories-break\"><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/datenschutz\">Datenschutz<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/files\/agb.pdf\">AGB<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"\/jobs\">Jobs<\/a><\/div><div class=\"categories-element\"><a class=\"pr-4\" href=\"https:\/\/app.secfix.com\/trust\/locaterisk\/d1e7d433b33643aea1880bfbfeab9f60\">Trust Center<\/a><\/div><\/div><div class=\"social\"><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.linkedin.com\/company\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/10\/gruppe-230@3x.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/www.instagram.com\/locaterisk\/\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Instagram.png\"\/><\/a><\/div><div class=\"social-element\"><a target=\"_blank\" href=\"https:\/\/twitter.com\/locaterisk\"><img decoding=\"async\" src=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/twitter.png\"\/><\/a><\/div><\/div><div class=\"description\"><h6>\u00a9 LocateRisk 2026<\/h6><\/div><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Eine kritische Schwachstelle (CVE-2026-63030) in WordPress Core erm\u00f6glicht unauthentifizierte Remote Code Execution. Betroffen sind Versionen bis 7.0.1. Handlungsbedarf besteht.<\/p>\n","protected":false},"author":13,"featured_media":9139,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[632],"tags":[739,738,113,111,327,666,740],"class_list":["post-9181","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-news","tag-cve-2026-60137","tag-cve-2026-63030","tag-rce","tag-remote-code-execution","tag-wordpress","tag-wordpress-sicherheit","tag-wp2shell"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v28.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>CVE-2026-63030: Kritische RCE-L\u00fccke in WordPress Core<\/title>\n<meta name=\"description\" content=\"Eine kritische Schwachstelle (CVE-2026-63030) in WordPress Core erm\u00f6glicht unauthentifizierte Remote Code Execution. Betroffen sind Versionen bis 7.0.1. Handlungsbedarf besteht.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"CVE-2026-63030: Kritische RCE-L\u00fccke in WordPress Core\" \/>\n<meta property=\"og:description\" content=\"Eine kritische Schwachstelle (CVE-2026-63030) in WordPress Core erm\u00f6glicht unauthentifizierte Remote Code Execution. Betroffen sind Versionen bis 7.0.1. Handlungsbedarf besteht.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/\" \/>\n<meta property=\"og:site_name\" content=\"LocateRisk\" \/>\n<meta property=\"article:published_time\" content=\"2026-07-18T09:07:21+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/third-party-vulnerability.png\" \/>\n\t<meta property=\"og:image:width\" content=\"400\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Kristina Hoinkis\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Kristina Hoinkis\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"4\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/wordpress-core-rce-wp2shell-6-9-7-0\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/wordpress-core-rce-wp2shell-6-9-7-0\\\/\"},\"author\":{\"name\":\"Kristina Hoinkis\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\"},\"headline\":\"Kritische RCE-L\u00fccke in WordPress Core (CVE-2026-63030)\",\"datePublished\":\"2026-07-18T09:07:21+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/wordpress-core-rce-wp2shell-6-9-7-0\\\/\"},\"wordCount\":895,\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/wordpress-core-rce-wp2shell-6-9-7-0\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/third-party-vulnerability.png\",\"keywords\":[\"CVE-2026-60137\",\"CVE-2026-63030\",\"RCE\",\"Remote Code Execution\",\"WordPress\",\"WordPress Sicherheit\",\"wp2shell\"],\"articleSection\":[\"Cybersecurity News\"],\"inLanguage\":\"de\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/wordpress-core-rce-wp2shell-6-9-7-0\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/wordpress-core-rce-wp2shell-6-9-7-0\\\/\",\"name\":\"CVE-2026-63030: Kritische RCE-L\u00fccke in WordPress Core\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/wordpress-core-rce-wp2shell-6-9-7-0\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/wordpress-core-rce-wp2shell-6-9-7-0\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/third-party-vulnerability.png\",\"datePublished\":\"2026-07-18T09:07:21+00:00\",\"description\":\"Eine kritische Schwachstelle (CVE-2026-63030) in WordPress Core erm\u00f6glicht unauthentifizierte Remote Code Execution. Betroffen sind Versionen bis 7.0.1. Handlungsbedarf besteht.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/wordpress-core-rce-wp2shell-6-9-7-0\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/locaterisk.com\\\/de\\\/wordpress-core-rce-wp2shell-6-9-7-0\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/wordpress-core-rce-wp2shell-6-9-7-0\\\/#primaryimage\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/third-party-vulnerability.png\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2026\\\/07\\\/third-party-vulnerability.png\",\"width\":400,\"height\":400,\"caption\":\"third-party-vulnerability\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/wordpress-core-rce-wp2shell-6-9-7-0\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/locaterisk.com\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Kritische RCE-L\u00fccke in WordPress Core (CVE-2026-63030)\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"name\":\"LocateRisk\",\"description\":\"IT-Sicherheit messen und vergleichen\",\"publisher\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#organization\",\"name\":\"LocateRisk\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"contentUrl\":\"https:\\\/\\\/locaterisk.com\\\/wp-content\\\/uploads\\\/2020\\\/11\\\/Kettenglieder_V0216-9.jpg\",\"width\":1920,\"height\":1080,\"caption\":\"LocateRisk\"},\"image\":{\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/locaterisk\\\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/locaterisk.com\\\/de\\\/#\\\/schema\\\/person\\\/68f3857c15afa8ff59c545848dddcc32\",\"name\":\"Kristina Hoinkis\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g\",\"caption\":\"Kristina Hoinkis\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"CVE-2026-63030: Kritische RCE-L\u00fccke in WordPress Core","description":"Eine kritische Schwachstelle (CVE-2026-63030) in WordPress Core erm\u00f6glicht unauthentifizierte Remote Code Execution. Betroffen sind Versionen bis 7.0.1. Handlungsbedarf besteht.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/","og_locale":"de_DE","og_type":"article","og_title":"CVE-2026-63030: Kritische RCE-L\u00fccke in WordPress Core","og_description":"Eine kritische Schwachstelle (CVE-2026-63030) in WordPress Core erm\u00f6glicht unauthentifizierte Remote Code Execution. Betroffen sind Versionen bis 7.0.1. Handlungsbedarf besteht.","og_url":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/","og_site_name":"LocateRisk","article_published_time":"2026-07-18T09:07:21+00:00","og_image":[{"width":400,"height":400,"url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/third-party-vulnerability.png","type":"image\/png"}],"author":"Kristina Hoinkis","twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"Kristina Hoinkis","Gesch\u00e4tzte Lesezeit":"4\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/#article","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/"},"author":{"name":"Kristina Hoinkis","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32"},"headline":"Kritische RCE-L\u00fccke in WordPress Core (CVE-2026-63030)","datePublished":"2026-07-18T09:07:21+00:00","mainEntityOfPage":{"@id":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/"},"wordCount":895,"publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"image":{"@id":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/third-party-vulnerability.png","keywords":["CVE-2026-60137","CVE-2026-63030","RCE","Remote Code Execution","WordPress","WordPress Sicherheit","wp2shell"],"articleSection":["Cybersecurity News"],"inLanguage":"de"},{"@type":"WebPage","@id":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/","url":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/","name":"CVE-2026-63030: Kritische RCE-L\u00fccke in WordPress Core","isPartOf":{"@id":"https:\/\/locaterisk.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/#primaryimage"},"image":{"@id":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/#primaryimage"},"thumbnailUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/third-party-vulnerability.png","datePublished":"2026-07-18T09:07:21+00:00","description":"Eine kritische Schwachstelle (CVE-2026-63030) in WordPress Core erm\u00f6glicht unauthentifizierte Remote Code Execution. Betroffen sind Versionen bis 7.0.1. Handlungsbedarf besteht.","breadcrumb":{"@id":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/#primaryimage","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/third-party-vulnerability.png","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/07\/third-party-vulnerability.png","width":400,"height":400,"caption":"third-party-vulnerability"},{"@type":"BreadcrumbList","@id":"https:\/\/locaterisk.com\/de\/wordpress-core-rce-wp2shell-6-9-7-0\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/locaterisk.com\/"},{"@type":"ListItem","position":2,"name":"Kritische RCE-L\u00fccke in WordPress Core (CVE-2026-63030)"}]},{"@type":"WebSite","@id":"https:\/\/locaterisk.com\/de\/#website","url":"https:\/\/locaterisk.com\/de\/","name":"LocateRisk","description":"IT-Sicherheit messen und vergleichen","publisher":{"@id":"https:\/\/locaterisk.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/locaterisk.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/locaterisk.com\/de\/#organization","name":"LocateRisk","url":"https:\/\/locaterisk.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","contentUrl":"https:\/\/locaterisk.com\/wp-content\/uploads\/2020\/11\/Kettenglieder_V0216-9.jpg","width":1920,"height":1080,"caption":"LocateRisk"},"image":{"@id":"https:\/\/locaterisk.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/locaterisk\/"]},{"@type":"Person","@id":"https:\/\/locaterisk.com\/de\/#\/schema\/person\/68f3857c15afa8ff59c545848dddcc32","name":"Kristina Hoinkis","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/7756f96249844e60ceb218f17e06217dcbed4993bcd2124e3f59bb8675324f0d?s=96&d=mm&r=g","caption":"Kristina Hoinkis"}}]}},"_links":{"self":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts\/9181","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/comments?post=9181"}],"version-history":[{"count":1,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts\/9181\/revisions"}],"predecessor-version":[{"id":9182,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/posts\/9181\/revisions\/9182"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/media\/9139"}],"wp:attachment":[{"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/media?parent=9181"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/categories?post=9181"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/locaterisk.com\/de\/wp-json\/wp\/v2\/tags?post=9181"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}