内容管理系统WordPress出现高危远程代码执行漏洞 请立即升级

业界 来源:蓝点网 2026-07-18 16:14:01

网络安全公司 Searchlight Cyber 在知名内容管理系统 WordPress 核心代码中发现无需身份验证的远程代码执行漏洞,该攻击不需要任何前置条件,任何未经授权的用户可以在默认系统配置中利用此漏洞执行任意代码,最终可以获得网站和数据库访问权限。

危害极高暂时不公布详情:

该漏洞已经通报给 WordPress 团队进行修复,而基于安全考虑安全研究员暂时不会公布任何与该漏洞有关的信息,不过安全公司倒是推出 wp2shell.com 检测工具,任何使用 WordPress 的网站都可以在这个检测工具里探测自己的网站是否受漏洞影响。

使用方法也非常简单,打开检测工具后输入基于 WordPress 构建的网站地址发起检测即可,该工具会利用 WP-JSON 探测网站是否生成对应的响应,如果命中则会提醒用户这个受检测的网站受影响,应当采取临时措施禁止匿名 WP-JSON 访问或升级新版本。

受影响的版本:
  • WordPress 6.9.0 ~ 6.9.4 版受影响

  • WordPress 7.0.0 ~ 7.0.1 版受影响

  • WordPress 6.8.5 及以下版本不受影响

  • WordPress 6.9.5 版已获得反向移植补丁

  • WordPress 6.8.6 版已获得反向移植补丁

  • WordPress 7.1 Beta 2 及更高版本已修复漏洞

临时修复方案和永久修复方案:
  • 永久修复方案:更新到 7.0.2 版,该版本已修复 REST API 批量路由混乱和 SQL 注入导致的远程代码执行

  • 临时修复方案:安装插件禁止 WP-JSON 匿名访问,但这可能会严重影响网站正常功能使用!

  • Cloudflare:如果使用 Cloudflare 托管网站则可以缓解攻击,Cloudflare 已部署 WAF 进行抵御

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接
百度热搜榜
排名 热点 搜索指数