Kritische WordPress-Schwachstelle wp2shell erlaubt CMS-Übernahme

Unschöne Information: In WordPress gibt es einen kritische Schwachstelle, die die Entdecker als wp2shell bezeichnen, die eine CMS-Übernahme erlaubt. WordPress 6.9.5 und WordPress 7.0.2 sind gegen die Schwachstelle gehärtet. Die Entdecker haben zudem eine Check-Seite online gestellt, die prüft, ob eine WordPress-Installation anfällig ist.

Die Schwachstelle wp2shell

Entdeckt wurde die Schwachstelle wp2shell von Sicherheitsforschern von Searchlight Cyber. Es ist eine RCE-Schwachstelle im WordPress-Kernel, die vor der Authentifizierung ausgenutzt werden kann. Der Angriff erfordert keine Voraussetzungen und kann von einem anonymen Benutzer in einer Standardinstallation von WordPress ohne Plugins ausgenutzt werden.

  • <= 6.8.5: nicht betroffen
  • 6.9.0 - 6.9.4: betroffen
  • 7.0.0 - 7.0.1: betroffen

Die Sicherheitsforscher geben im Beitrag wp2shell: Pre Authentication RCE in WordPress Core die obigen Versionen als betroffen bzw. nicht betroffen an. Die WordPress-Entwickler haben reagiert und WordPress 6.9.5 sowie WordPress 7.0.2 veröffentlicht, die die Schwachstelle beseitigen. Angesichts der Schwere des Fehlers und um den Verantwortlichen Zeit für die Behebung zu geben, veröffentlichen die Sicherheitsforscher derzeit keine technischen Details.

Es gibt einen Checker

Schätzungen zufolge nutzen über 500 Millionen Websites WordPress, die potentiell gefährdet sind. Die Sicherheitsforscher haben jedoch einen Checker online gestellt, mit dem WordPress-Nutzer feststellen können, ob ihre Installation anfällig ist.

wp2shell-Checker

Man kann die URL der WordPress-Instanz eingeben und bekommt mitgeteilt, ob diese angreifbar ist. Allerdings möchte ich anmerken, dass der Checker nicht zuverlässig arbeitet. Ich bin mit meinen Blogs auf Grund der Sicherheitslücke auf WordPress 7.0.2, bekomme aber auf den Blogs unter borncity[.]com ein "vulnerable" angezeigt. Auch hat das nachfolgend erwähnte Plugin nicht geholfen. Werde da mit dem Besitzer der Domain klären, ob es an einer besonderen Konfiguration liegen kann.

Was kann man tun?

Der beste Weg, sich zu schützen, ist, WordPress umgehend zu aktualisieren, schreiben die Entdecker. WordPress 7.0.2 enthält den Fix (bzw. 6.9.5, falls jemand noch den 6.9-Zweig nutzt). Wer nicht sofort das Update durchführen kann, hat mehrere Möglichkeiten, das Risiko zu mindern:

  • Das für WordPress angebotene Plugin "Disable WP REST API" installieren, um nicht authentifizierten Benutzern die Nutzung der WordPress-API zu verwehren. Dies ist die einfachste Option, birgt jedoch ein geringes Risiko, dass bestehende Funktionen nicht mehr funktionieren.
  • Verwenden einer WAF, um den Pfad /wp-json/batch/v1 und den Abfrageparameter rest_route=/batch/v1 zu blockieren (beide Muster müssen blockiert werden, um Ihre Instanz zu sichern).
  • Man kann sich auch ein hier im Quellcode veröffentlichte benutzerdefiniertes Plugin über SSH oder FTP im Verzeichnis "wp-content/plugins/disable-batch-api-for-unauth.php" der WordPress-Instanz ablegen und aktivieren es über den Menüpunkt Plugins" im Admin-Bereich aktivierten.

heise hat hier einige Informationen zum Thema veröffentlich, da bin ich gestern drauf gestoßen.

Dieser Beitrag wurde unter Sicherheit, Software, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen für den Permalink.

5 Kommentare zu Kritische WordPress-Schwachstelle wp2shell erlaubt CMS-Übernahme

  1. Webmasta sagt:

    Seit im Grunde schon WordPress 5.x bzw. spätestens seit den frühen WordPress 6.x Versionen ist die Entwicklungsqualität im Keller, man bastelt mit ständig breaking Changes am Core und am Block Editor und im für normale Endbenutzer nutzlosem "Front Site Editing" und irgendwelchem Templating herum, alles direkt in die bestehende REST-API v2 hineingepatcht, die für vieles untauglich war, und handelt sich damit Sicherheitslücken wie diese ein. Wird nicht die letzte Problematik dieser Art sein. Schade um WordPress, der Core war früher mal ein wirklich stabiles Projekt.

    Einzige stabile generelle Verteidigung gegen REST-API Angriffe ist wohl das Blocking aller Aufrufe unterhalb von wp-json/ und von ?rest_route=/ via .htacces ggf. bei Bedarf mit IP-Ausnahme für den Administrator.

  2. Webmasta sagt:

    Allerdings möchte ich anmerken, dass der Checker nicht zuverlässig arbeitet.

    Der verlinkte Checker prüft augenscheinlich die WordPress Installation direkt unter der Domain (und nicht im /blog/ Unterordner).

    Diese WordPress Installation ist noch auf Version 6.9.4 und damit verwundbar.

    Warum die Version noch auf 6.9.4 ist, ist schwer nachvollziehbar, es gab diesmal eigentlich ein selten vorkommendes von WordPress.org erzwungenes Update Rollout bereits am 17.07.2026, man hat bei dieser Installation scheinbar in den WordPress Update Mechanismen herumgebastelt und dadurch auch diese erzwungenen Sicherheitsupdates im gleichen Zweig komplett ausgeschlossen, warum auch immer.

    Das Ergebnis des Checkers ist somit korrekt, er prüft nur nicht die angegebene Installation.

  3. Jens sagt:

    Nach vielen Jahren WordPress bin ich seit einigen Jahren bei Processwire gelandet. Ist zwar kein typisches „Zusammenklick CMS" aber ein extrem leistungsfähiges Content Management Framework.

  4. xx sagt:

    WordPress.. und noch immer der Glaube man könnte mit nur genug Aufwand es besser hinbekommen. Man braucht nur x Plugins mehr.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.