🔓 Критична вразливість wp2shell у WordPress дозволяє віддалений запуск коду

Дослідники виявили небезпечний ланцюжок вразливостей у ядрі платформи WordPress під назвою wp2shell, який дозволяє анонімним користувачам запускати сторонній код на сервері без авторизації. Загроза поєднує помилки CVE-2026-63030 та CVE-2026-60137. Їхня комбінація дає повний контроль над сайтом навіть без встановлених плагінів. Вразливість зачіпає версії від 6.9.0 до 6.9.4 та від 7.0.0 до 7.0.1. Для захисту розробники випустили оновлення 6.9.5 та 7.0.2 із примусовим автоматичним встановленням.

Технічно збій у підзапитах REST API дозволяє обійти білий список та передати шкідливі дані у вразливий запит до бази даних. Невдовзі після релізу патчу на GitHub з’явився публічний робочий експлойт. Хоча випадків активного використання не зафіксовано, публічний код підвищує ризики для мільйонів сайтів. Небезпека знижується лише за наявності постійного кешу об’єктів, проте базова конфігурація залишається вразливою.