针对WordPress安全团队向我们披露的高严重性漏洞, Cloudflare已部署了两个WAF规则。新规则保护所有使用受影响WordPress版本的Cloudflare客户,但客户仍应立即更新到修补版本。Cloudflare已针对影响WordPress的两个关键漏洞部署了新的Web应用程序防火墙(WAF)保护。
这些保护措施解决了WordPress的REST API中未经身份验证的远程代码执行(RCE)漏洞以及相关的SQL注入漏洞。WordPress安全团队在公开发布之前披露了Cloudflare的漏洞,以便我们为客户提供保护。
Cloudflare已部署新规则,以保护所有客户,包括免费和付费套餐的客户,只要他们的应用程序流量是通过Cloudflare WAF代理的。这些规则于2026年7月17日17:03 UTC部署。在客户更新时, WAF保护可减少暴露,但它们不能替代修补。
WordPress已在7.0.2版中发布了修复程序,并反向移植到受影响的早期分支: 6.9.5、6.8.6和7.1 Beta 2 (请参阅发布详细信息)。早于6.8的版本不受影响。WordPress将此视为其严重程度最高、优先级最高的问题类别,并强制自动更新受影响的站点,因此大多数站点将自动更新。
我们仍然建议您确认您正在使用分支机构的补丁版本或后端,并遵循官方WordPress安全发布公告中的指导。您需要了解的信息漏洞会影响请求路径的不同部分: CVE-2026-60137: SQL注入。WordPress版本6.8及更高版本中的漏洞允许精心设计的输入更改数据库查询。Rating High。