免费软件、软件分享、系统优化、AI工具
科技皮皮虾 > 科技要闻 > Cloudflare 为 WordPress 两个高危漏洞下发 WAF 规则,覆盖 SQL 注入与未认证 RCE

Cloudflare 为 WordPress 两个高危漏洞下发 WAF 规则,覆盖 SQL 注入与未认证 RCE

Cloudflare 为 WordPress 两个高危漏洞下发 WAF 规则,覆盖 SQL 注入与未认证 RCE

Cloudflare 发布 WordPress 两个高危漏洞防护规则,覆盖 SQL 注入与未认证远程代码执行攻击路径。

Cloudflare 发布 WordPress 漏洞 WAF 防护科技要闻配图,展示云端防火墙、网站管理面板与被拦截的攻击流量

Cloudflare 于协调世界时 2026 年 7 月 17 日 21:30 在官方博客发布公告,披露其已针对 WordPress 两个高危漏洞部署 Web Application Firewall 规则。公告显示,规则实际下发时间为 2026 年 7 月 17 日 17:03 UTC,面向通过 Cloudflare WAF 代理的 WordPress 站点生效。

根据官方公开内容,本次涉及的两个编号分别为 CVE-2026-60137 和 CVE-2026-63030。前者被标记为高危 SQL 注入漏洞,影响 WordPress 6.8 及以上版本,可通过构造输入改变数据库查询;后者被标记为严重级未认证远程代码执行漏洞,影响 WordPress 6.9 及以上版本,在未使用持久对象缓存时,攻击者可通过 REST API 的 batch endpoint 执行代码,且无需登录或用户交互。

Cloudflare 在公告中说明,6.8 分支仅受到 SQL 注入问题影响,因此 6.8.6 主要修复这一漏洞;6.9.5、7.0.2 与 7.1 Beta 2 则同时包含对两个漏洞的修复。官方同时写明,6.8 之前的 WordPress 版本不在本次受影响范围内,WordPress 已将该事件列为最高优先级安全问题,并推动受影响站点自动更新。

两条规则默认动作均为阻断

Cloudflare 披露,其 Managed Ruleset 与 Free Ruleset 均已为这两条漏洞增加默认阻断规则。其中,CVE-2026-60137 对应的 Managed Ruleset 规则 ID 为 1c060d3a371549219ee290d7ed933fcc,Free Ruleset 规则 ID 为 db003b39b7774859a8d588ce33697a1a;CVE-2026-63030 对应的 Managed Ruleset 规则 ID 为 7dfb2bd4708d4b88b9911dc0550664b6,Free Ruleset 规则 ID 为 ebd3f2df15c74ddcbf6220c9b5ec246a

Cloudflare 表示,使用 Pro、Business 和 Enterprise 套餐的 WordPress 站点应确认 Cloudflare Managed Rules 已启用;免费套餐用户则通过 Free Ruleset 自动获得保护。公告同时提醒,若站点曾对规则集做过统一改写,例如将默认 Block 调整为 Log,需要重新检查并恢复新规则的推荐动作。

Cloudflare 在文末强调,WAF 规则用于在补丁部署前降低暴露面,并不能替代升级。官方建议站点运营方继续核实当前版本是否已升级到 6.8.6、6.9.5、7.0.2 或 7.1 Beta 2 等已修复分支,并同步关注安全事件日志中与上述规则匹配的请求。

简评:这次公告同时给出了漏洞编号、受影响版本区间、修复分支和规则 ID,站点管理员可以据此同时完成边界拦截与版本核验。对于仍依赖 WordPress 作为内容系统的站点,补丁进度与 WAF 默认动作是否生效,将直接决定这一轮漏洞窗口的实际暴露时间。

内容说明:本文由科技皮皮虾基于公开信息、行业资料与页面主题整理,用于知识分享与信息参考。

适用人群:适合希望快速了解相关资讯背景、核心要点和延伸阅读方向的用户。

温馨提示:若文章中涉及外部资源、第三方服务或转载内容,请结合官方说明与实际情况自行判断和核实。