Cloudflare-WAF schützt WordPress vor zwei Lücken
Dieser Bericht fasst die Nachrichten vom 18. Juli 2026 zusammen und basiert ausschließlich auf den Originaltexten der Quellen.
🔑 Auf einen Blick
- Cloudflare-WAF schützt WordPress vor zwei Lücken
- China Unicom und Huawei starten größtes 5G-A-Uplink-Netz
Cloudflare-WAF schützt WordPress vor zwei Lücken

Angreifer können ohne Login und ohne jede Nutzeraktion Schadcode auf verwundbaren WordPress-Seiten ausführen. Laut blog.cloudflare.com hat Cloudflare neue Schutzregeln für seine Web Application Firewall (WAF) gegen zwei kritische WordPress-Lücken ausgerollt.
Die Regeln schützen alle Kunden, sowohl auf kostenlosen als auch auf bezahlten Plänen. Voraussetzung ist, dass der Datenverkehr über die Cloudflare WAF läuft. Cloudflare hat die Regeln am 17. Juli 2026 um 17:03 UTC aktiviert.
Das WordPress-Sicherheitsteam meldete die Lücken vorab an Cloudflare, damit der Anbieter Schutzmaßnahmen vorbereiten konnte. Beteiligt waren Daniele Molteni, Ah-young Choi, Georgie Yoxall, Kuber Nandwani und Vikram Grover.
Die zwei Schwachstellen im Detail
Es geht um zwei Fehler an verschiedenen Stellen des Anfragewegs. Der eine erlaubt eine SQL-Injektion, der andere die Ausführung von Fremdcode.
CVE-2026-60137 ist eine SQL-Injektion. Ab WordPress-Version 6.8 kann eine manipulierte Eingabe eine Datenbankabfrage verändern. Cloudflare bewertet die Lücke als hoch.
CVE-2026-63030 ist eine nicht authentifizierte Remote Code Execution (RCE). Ab Version 6.9 kann ein Angreifer Code über den Batch-Endpunkt der REST-API ausführen, wenn kein persistenter Objekt-Cache aktiv ist. Ein Login ist nicht nötig. Cloudflare stuft die Lücke als kritisch ein.
WAF ersetzt kein Update
Der WAF-Schutz senkt das Risiko, während Nutzer updaten. Er ersetzt aber kein Patchen, betont Cloudflare. WordPress hat die Fixes in Version 7.0.2 veröffentlicht.
Dazu kommen Backports für ältere Zweige: 6.9.5, 6.8.6 und 7.1 Beta 2. Versionen älter als 6.8 sind nicht betroffen.
Die SQL-Injektion steckt ab 6.8, die RCE erst ab 6.9. Deshalb behebt 6.8.6 nur die SQL-Injektion. Die Versionen 6.9.5, 7.0.2 und 7.1 Beta 2 schließen beide Lücken.
WordPress behandelt den Fall in seiner Kategorie mit der höchsten Schwere und Priorität und erzwingt automatische Updates für betroffene Seiten. Die meisten Seiten werden so von selbst aktualisiert.
Cloudflare rät trotzdem, die installierte Version zu prüfen und der offiziellen Sicherheitsmeldung von WordPress zu folgen.
Die zwei neuen WAF-Regeln
Cloudflare hat zwei Regeln erstellt, um passende Anfragen zu erkennen. Beide greifen standardmäßig mit der Aktion Block.
| Beschreibung | CVE | Regel-ID (Managed) | Regel-ID (Free) |
|---|---|---|---|
| WordPress – SQL Injection | CVE-2026-60137 | 1c060d3a371549219ee290d7ed933fcc | db003b39b7774859a8d588ce33697a1a |
| WordPress – Remote Code Execution | CVE-2026-63030 | 7dfb2bd4708d4b88b9911dc0550664b6 | ebd3f2df15c74ddcbf6220c9b5ec246a |
Kunden mit WordPress-Seiten auf Pro, Business oder Enterprise sollten prüfen, ob die Cloudflare Managed Rules aktiv sind. Kunden auf kostenlosen Plänen schützt das Free Ruleset automatisch.
Wer eigene Überschreibungen auf Ruleset-Ebene nutzt, sollte sie prüfen. Das gilt besonders für Einstellungen, die alle Regeln von Block auf Log stellen. Cloudflare empfiehlt, die neuen Regeln mit der empfohlenen Aktion zu betreiben.
Schutz in mehreren Schichten
Die SQL-Injektions-Regel erkennt manipulierte Parameterwerte, bevor sie WordPress erreichen. Die RCE-Regel zielt auf Anfragen, die den Weg zur Codeausführung suchen. Zusammen fangen sie den Angriff an zwei Punkten ab.
Die Regeln beheben den verwundbaren Code nicht. Ein Sicherheitsupdate von WordPress bleibt der wirksamste Weg. Ist ein sofortiges Update nicht möglich, sollten Kunden beide Regeln aktiv halten und die Logs auf verdächtige Anfragen an die betroffene REST-API prüfen.
Cloudflare will den passenden Datenverkehr weiter beobachten und die Regeln gegen neue Angriffsvarianten testen. Der Anbieter dankt dem WordPress-Sicherheitsteam für die Abstimmung mit Cloudflare und anderen Infrastruktur-Anbietern.
China Unicom und Huawei starten größtes 5G-A-Uplink-Netz

Über 10.000 Basisstationen stehen jetzt in Peking: Huawei und China Unicom Beijing starteten am 16. Juli 2026 nach eigenen Angaben das weltweit größte kommerzielle 5G-A-GigaUplink-Netz.
Das Netz deckt zentrale Bereiche Pekings durchgehend mit 100 MHz ab. China Unicom spricht von einer neuen Stufe: von der stadtweiten 5G-A-Abdeckung hin zu flächendeckender GigaUplink-Leistung.
Sieben Medienvertreter testeten das Netz live
Bei einer Testfahrt begleiteten sieben eingeladene Medienvertreter als „Experience Officers“ die Messung. Sie bestätigten laut Huawei eine „hervorragende Abdeckung und ein stabiles Diensterlebnis“.
Die Livewerte: eine 100-MHz-Uplink-Effektivquote von 83 %. Der Anteil schwacher Zellrandpunkte (unter 20 Mbps) lag bei nur 0,1 %.
„5G Capital on the Road“: die Messfahrt in Zahlen
Für den Test nutzte China Unicom Beijing eine koordinierte Vernetzung aus 3,5 GHz und 3,5 GHz. Die Strecke war 34 Kilometer lang.
Das Netz erreichte dabei folgende Werte:
| Kennzahl | Wert |
|---|---|
| 100-MHz-Uplink-Effektivquote | 83 % |
| Spitzen-Uplinkrate | 1 Gbps |
| Durchschnittliche Uplinkrate | 397 Mbps |
| Anteil Spitzenerlebnis (über 300 Mbps) | 72 % |
| Schwache Zellrandpunkte (unter 20 Mbps) | 0,1 % |
Diese Leistung unterstützt laut China Unicom mobile Szenarien im Fahrzeug: Übertragung im Millisekundenbereich für KI-Brillen, flüssige Kommunikation zwischen KI-Telefonen und Agenten sowie Echtzeit-Cloud-Übertragung für smarte Kameras, die aufnehmen und sofort hochladen.
„Netze müssen nicht nur schnell laden“
Miao Shouye, Senior Vice President von China Unicom, ordnet den Schritt in die Mobile-KI-Ära ein. Immer mehr Daten entstehen vor Ort und müssen in Echtzeit in die Cloud übertragen werden.
Früher konzentrierten sich Mobilfunknetze stärker auf Download-Geschwindigkeiten. Doch in der Mobile-KI-Ära müssen Netze nicht nur schnell laden, sondern auch stabil und genau übertragen. Große Uplink-Fähigkeiten werden zur wesentlichen Grundlage für Echtzeit-Interaktion.
Neue Dienste wie KI-Telefone, KI-Brillen, smarte Roboter, industrielle Bildverarbeitung und Anwendungen in niedriger Höhe verändern laut Miao die Geschäftsmodelle grundlegend.
Sechstes Jahr des 5G-Capital-Projekts
David Li, President von Huaweis Wireless TDD Produkt Line, verweist auf das sechste Jahr des Projekts. Es reicht von globalen 5G-A-Demonstrationen über die stadtweite kommerzielle Einführung bis zum heutigen GigaUplink-Netz.
Ich fühle mich sehr geehrt, China Unicom mit Huaweis innovativer 3,5-GHz-plus-2,1-GHz-SUL-Lösung (Supplementary Uplink) zu unterstützen. Huawei wird weiterhin in Bereichen wie Multi-Band-Pooling, Uplink-Verstärkung und mehrdimensionaler Koordination Innovationen vorantreiben.
Beide Partner wollen die Netzfähigkeiten weiterentwickeln und das industrielle Ökosystem stärken. So wollen sie gemeinsam eine neue Ära der intelligenten Vernetzung einläuten.
Fazit
Ohne Login und ohne einen einzigen Klick lässt sich auf verwundbaren WordPress-Seiten Fremdcode ausführen — gegen genau diese zwei kritischen Lücken schaltete Cloudflare am 17. Juli 2026 um 17:03 UTC neue WAF-Regeln frei, die für Gratis- wie Bezahlkunden gelten. Zeitgleich meldeten Huawei und China Unicom Beijing in Peking über 10.000 Basisstationen für das nach eigenen Angaben weltweit größte kommerzielle 5G-A-GigaUplink-Netz, das zentrale Stadtteile durchgehend mit 100 MHz versorgt. Sieben eingeladene Medienvertreter maßen bei einer Testfahrt eine Uplink-Effektivquote von 83 Prozent; schwache Zellrandpunkte unter 20 Mbps machten nur 0,1 Prozent aus.
Häufig gestellte Fragen
Bin ich geschützt, wenn meine WordPress-Seite nicht über Cloudflare läuft?
Nein. Die neuen WAF-Regeln greifen nur, wenn der Datenverkehr tatsächlich über die Cloudflare WAF läuft — sonst bleiben die beiden Lücken offen.
Was können Angreifer über die zwei WordPress-Lücken konkret anrichten?
Der eine Fehler erlaubt eine SQL-Injektion, der andere die Ausführung von Fremdcode. Beides funktioniert ohne Login und ohne jede Nutzeraktion.
Wie leistungsfähig ist der Uplink im neuen Pekinger 5G-A-Netz?
Über 100 MHz erreichte das Netz eine Uplink-Effektivquote von 83 %. Nur 0,1 % der Messpunkte am Zellrand fielen unter 20 Mbps.
📚 Quellen
Dieser Beitrag wurde automatisch mit Unterstützung von KI erstellt.