Chyba wp2shell jádra WordPressu umožňuje neautorizovaným útočníkům spouštět vlastní kód

Sdílet

WordPress rozbitý prasklý Autor: Depositphotos

Anonymní HTTP požadavek může spustit kód na webu s WordPressem. Chyba wp2shell se nachází v jádru systému, takže ji lze zneužít i na čisté instalaci bez jediného pluginu. Ohroženy byly všechny weby s verzemi 6.9 a 7.0 až do pátku, kdy WordPress vydal verze 6.9.5 a 7.0.2 a prostřednictvím svého systému automatických aktualizací aktivoval takzvané vynucené aktualizace.

Ve skutečnosti se wp2shell skládá ze dvou chyb, nikoli z jedné, a obě mají nyní přiřazeny identifikátory: CVE-2026–63030 představuje záměnu cest v REST API a CVE-2026–60137 zase SQL injekci v jádru WordPressu. V kombinaci umožňují tyto chyby, aby anonymní požadavek vedl až ke spuštění kódu.

Kombinaci chyb je možné zneužít ve WordPressu od verze 6.9.0, starší verze nejsou ohroženy. Pokud používáte zranitelnou verzi, nejlepším řešením je rychlá aktualizace na opravenou verzi. Jestliže nemůžete okamžitě aktualizovat, můžete nainstalovat rozšíření Disable WP REST API, které znemožní použití API neautorizovanými uživateli. Další možností je pak zablokovat cestu /wp-json/batch/v1 a parametr dotazu  rest_route=/batch/v1.

Našli jste v článku chybu?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.