17 juli 2026 · 4 min leestijd · Nieuws
Op 17 juli 2026 bracht WordPress noodpatches uit voor een kwetsbaarheid in de core die de bijnaam wp2shell kreeg. Daarmee kan een aanvaller zonder in te loggen code uitvoeren op een standaard WordPress-site. Geen account, geen kwetsbare plugin, geen bijzondere configuratie. Een reguliere site op een getroffen versie is genoeg, en dat maakt de kwetsbaarheid serieus.
Wij ontdekten wp2shell niet zelf. De vondst komt van Adam Kues van Assetnote / Searchlight Cyber, die de kwetsbaarheid meldde via het HackerOne-programma van WordPress en de publieke testtool wp2shell.com publiceerde. De onderzoekers houden de exploitdetails bewust achter, zodat beheerders tijd hebben om te patchen. Toch lukte het ons om met Claude Code binnen zes minuten een werkende proof-of-concept na te bouwen. Meer daarover verderop.
De kern van dit artikel is kort. Controleer welke WordPress-versie u draait en werk die bij. Hieronder leest u wat er precies speelt en hoe u het oplost.
wp2shell is geen losse fout, maar een combinatie van twee kwetsbaarheden in WordPress-core die samen tot remote code execution (RCE) leiden.
author__not_in van de interne klasse WP_Query. Ongesaneerde invoer belandt zo in de databasequery. Deze fout zit al in WordPress vanaf versie 6.8 en is door Searchlight beoordeeld op CVSS 9.1 (kritiek)./wp-json/batch/v1 bundelt meerdere verzoeken, en door verwarring over de aangeroepen route bereikt een aanvaller de SQL-injectie ongeauthenticeerd en zet die om naar code-uitvoering. Dit deel raakt WordPress vanaf versie 6.9.Een aanvaller stuurt een geprepareerd verzoek naar het batch-endpoint, gebruikt de SQL-injectie om grip op de query te krijgen en voert zo code uit op de server, zonder ooit in te loggen.
WordPress is het populairste CMS ter wereld en draait op een groot deel van alle websites. Een kwetsbaarheid in de core raakt daarmee in principe elke standaardinstallatie op een getroffen versie, ongeacht welke plugins of thema’s erop draaien. Omdat er geen authenticatie nodig is en het kwetsbare endpoint op elke site op dezelfde plek zit, is de fout eenvoudig op grote schaal te scannen. Zulke kwetsbaarheden worden doorgaans binnen enkele dagen na bekendmaking massaal misbruikt. Een geslaagde aanval betekent code-uitvoering op de webserver, en daarmee toegang tot uw database en de rest van uw omgeving.
De onderzoekers gaven de exploitdetails niet vrij. Op basis van de wel gepubliceerde aanwijzingen en de testtool op wp2shell.com bouwden wij in een afgeschermde testomgeving met Claude Code binnen zes minuten een werkende proof-of-concept.
Die PoC delen wij bewust niet. We publiceren geen exploitcode en geen stappenplan, zodat dit artikel geen wapen wordt tegen sites die nog niet gepatcht zijn. De credits voor de vondst blijven volledig bij wp2shell.com en Searchlight Cyber.
Wat het wel laat zien, is hoe snel het gaat. De tijd tussen een bekende kwetsbaarheid met achtergehouden details en een werkende exploit is teruggelopen tot minuten. Reken er dus niet op dat u dagen de tijd heeft. Behandel deze kwetsbaarheid alsof er al op wordt gescand en werk vandaag bij.
Controleer welke versie u draait via Dashboard → Updates, onderaan het beheerscherm of in de generator-metatag van uw site. Vergelijk die met onderstaande tabel. De onderzoekers bieden op wp2shell.com een testtool aan; gebruik die alleen op sites die u zelf beheert.
| WordPress-versie | Kwetsbaar voor | Gepatcht in |
|---|---|---|
| Ouder dan 6.8 | Niet kwetsbaar | — |
| 6.8.x | Alleen SQL-injectie (CVE-2026-60137) | 6.8.6 |
| 6.9.0 – 6.9.4 | Volledige pre-auth RCE | 6.9.5 |
| 7.0.0 – 7.0.1 | Volledige pre-auth RCE | 7.0.2 |
| 7.1 beta (t/m beta1) | Volledige pre-auth RCE | 7.1 beta2 |
Draait u 6.9 of 7.0, dan is bijwerken naar 6.9.5 of 7.0.2 de hoogste prioriteit. Zit u nog op 6.8, dan bent u alleen kwetsbaar voor de SQL-injectie, maar ook dan is bijwerken naar 6.8.6 aan te raden.
Er is maar één echte oplossing. Werk WordPress bij naar een gepatchte versie (6.9.5, 7.0.2, 6.8.6 of 7.1 beta2). Dat kan via Dashboard → Updates, met WP-CLI (wp core update) of via uw hostingpartij. Zet daarbij automatische core-updates aan, zodat een volgende noodpatch u niet opnieuw dagen achterloopt.
Lukt bijwerken niet meteen, dan kunt u het endpoint /wp-json/batch/v1 tijdelijk blokkeren op uw firewall of WAF. Cloudflare deed dat standaard voor al zijn klanten, ook op het gratis plan. Dat verkleint het risico, maar vervangt de update niet. Het onderstaande schema laat zien welke stap in uw situatie past.
Wij controleren of uw WordPress-omgeving kwetsbaar is voor wp2shell en zoeken naar de zwakke plekken die geautomatiseerde scanners missen. Neem vrijblijvend contact met ons op om de mogelijkheden te bespreken.
Neem contact opOf mail ons direct via [email protected]
Lateral movement is hoe een aanvaller na de eerste inbraak van systeem naar systeem beweegt, op weg naar domain admin. Wij tonen het risico in jouw netwerk.
AS-REP roasting kraakt offline het wachtwoord van Active Directory-accounts waarbij Kerberos-pre-authenticatie uitstaat. Vaak zonder dat je hoeft in te loggen.
Kerberos is het authenticatieprotocol van Active Directory, gebaseerd op tickets en een centrale KDC. Wij laten zien hoe het werkt en waar aanvallers het misbruiken.