Skip to main content

WordPressin core-koodista löytynyt wp2shell-haavoittuvuus sallii hyökkääjän suorittaa koodia etänä. Päivitä sivustosi versioihin 6.9.5 tai 7.0.2 välittömästi.

WordPressin ydinohjelmistosta on paljastunut kriittinen haavoittuvuus, jota kutsutaan nimellä wp2shell. Haavoittuvuus on poikkeuksellisen vakava, sillä se mahdollistaa mielivaltaisen koodin suorittamisen ilman todennusta suoraan WordPress-asennuksen kautta. Koska bugi sijaitsee ydinohjelmistossa, jopa täysin puhtaat ja lisäosattomat asennukset ovat alttiina hyökkäyksille.

Assetnote-yhtiön tutkija Adam Kues löysi tietoturva-aukon, joka mahdollistaa hyökkäyksen anonyymien HTTP-pyyntöjen kautta. Ennen 17. heinäkuuta 2026 havaitut haavoittuvuudet koskivat kaikkia WordPress-versioita 6.9 ja 7.0. Hyökkäyspinta on ollut merkittävä, sillä kyseessä on laajasti käytetty alusta, joka on oletusarvoisesti vaarantunut ilman asianmukaisia korjauspaketteja.

WordPress-kehittäjät reagoivat tilanteeseen perjantaina 17. heinäkuuta 2026 julkaisemalla korjatut versiot 6.9.5 ja 7.0.2. Samalla yhtiö otti käyttöön pakotetut päivitykset automaattisen päivitysjärjestelmän kautta, jotta haavoittuvuus saadaan korjattua mahdollisimman nopeasti. Tämä toimenpide minimoi riskin, että ylläpitäjät jättävät kriittiset päivitykset tekemättä.

IT-ammattilaisten tulee tarkistaa välittömästi hallinnoimiensa WordPress-sivustojen versiot ja varmistaa automaattisten päivitysten toimivuus. Vaikka pakotetut päivitykset auttavat, on suositeltavaa validoida päivitysten asentuminen ja tarkistaa sivustojen lokitiedostot mahdollisten murtoyritysten varalta. Jatkuva haavoittuvuusseuranta ja nopea reagointi ydinjärjestelmien päivityksiin on välttämätöntä liiketoimintakriittisten sivustojen suojaamiseksi.

Tärkeimmät pointit

  • Haavoittuvuuden nimi: wp2shell
  • Haavoittuvat versiot: WordPress 6.9 ja 7.0 ennen korjauspäivityksiä
  • Korjatut versiot: WordPress 6.9.5 ja 7.0.2
  • Löytäjä: Adam Kues (Assetnote)
  • Hyökkäysvektori: Anonyymi HTTP-pyyntö
  • Vaikutus: Mielivaltainen koodin suoritus ydinohjelmistossa
  • Toimenpide: Automaattinen päivitys aktivoitu WordPressin toimesta

Lähde: The Hacker News — alkuperäinen artikkeli julkaistu 17.7.2026