wp2shell test — je tvůj WordPress zranitelný?
17. 7. 2026 se objevila kritická pre-authentication RCE přímo ve WordPress jádru, přezdívaná wp2shell. Anonymní request na čistou instalaci dokáže spustit kód na serveru — bez přihlášení a bez pluginů. Vibe Check zkontroluje tvůj web z veřejné URL a pasivně ti řekne, jestli tvoje verze WordPressu spadá do zranitelného rozsahu.
Co je wp2shell (CVE-2026-63030 + CVE-2026-60137)
wp2shell je pre-auth RCE ve WordPress jádru, ne v pluginu. Řetězí SQL injection ve WP_Query (CVE-2026-60137) a route confusion v REST batch API /wp-json/batch/v1 (CVE-2026-63030). Batch API je v jádru od verze 5.6, defaultně zapnuté a bez autentizace.
Zasažené a opravené verze
- Zasažené: WordPress 6.9.0–6.9.4 a 7.0.0–7.0.1.
- Opraveno v 6.9.5 (větev 6.9) a 7.0.2 (větev 7.0).
- Postihuje odhadem 500 milionů+ WordPress webů.
Jak to Grove pozná — pasivně
Vibe Check zjistí verzi WordPress jádra z veřejných stop (generator meta, parametr ?ver na core assetech, readme.html) a deterministicky ji porovná se zranitelným rozsahem wp2shell. Když je web zpevněný a verze skrytá, jen bezpečně ověří, jestli je REST batch API otevřené. Kontrola je čistě pasivní: žádné SQL injection, žádný exploit, žádný přístup ke kódu ani serveru.
Jak to opravit
Aktualizuj WordPress na 7.0.2 (nebo 6.9.5 na větvi 6.9). Než to půjde, zablokuj na WAF anonymní přístup na /wp-json/batch/v1 a ?rest_route=/batch/v1.