WordPress Core com RCE sem login: saiba o impacto
Falha wp2shell afeta instalações padrão e pode permitir controle remoto do site.

Resumo rapido
Uma falha no WordPress Core, chamada wp2shell, permite execução remota de código antes do login. O problema atinge as versões 6.9.0 a 6.9.4 e 7.0.0 a 7.0.1. A correção chegou nas versões 7.0.2, 6.9.5 e 6.8.6, e existem medidas temporárias para bloquear rotas da REST API enquanto o patch não é aplicado.
Neste artigo voce vai aprender:
- O que é a falha wp2shell no WordPress Core.
- Quais versões do WordPress foram citadas como afetadas.
- Por que o risco é alto mesmo sem plugins instalados.
- Quais atualizações e bloqueios temporários foram recomendados.
- Como montar uma resposta rápida para sites WordPress.
O que aconteceu
Foi divulgada uma vulnerabilidade crítica no WordPress Core, apelidada de wp2shell. Segundo o relato analisado, ela abre caminho para execução remota de código sem autenticação. Traduzindo: um invasor consegue tentar enviar comandos ao site sem usuário, senha ou acesso prévio.
O que torna o caso grave é a escala. O WordPress sustenta uma base estimada de 500 milhões de sites no mundo, e a falha foi descrita como capaz de atingir instalações padrão, mesmo sem nenhum plugin adicionado.
Como a falha funciona
O ataque combina duas peças. De um lado, uma confusão em rotas em lote da REST API; de outro, uma falha de injeção SQL. Juntas, elas formam a cadeia que leva à execução remota de código.
Foram citados dois registros: CVE-2026-63030, ligado à cadeia de RCE, e CVE-2026-60137, associado a uma segunda falha de injeção SQL. Os detalhes técnicos de exploração não foram publicados, justamente para dar tempo aos administradores de corrigirem seus sites antes que o passo a passo circule.
Como identificar risco
O primeiro indicador de exposição é a versão instalada. De acordo com as informações divulgadas:
- WordPress 6.9.0 a 6.9.4: afetado pelas duas vulnerabilidades.
- WordPress 7.0.0 a 7.0.1: afetado pelas duas vulnerabilidades.
- WordPress 7.1 beta: afetado nas versões beta, com correção no beta2.
- WordPress até 6.8.5: não afetado pela cadeia de RCE, mas a linha 6.8.x foi citada em relação ao CVE-2026-60137.
A Searchlight Cyber também publicou um verificador em wp2shell[.]com, que ajuda os administradores a checar a exposição sem depender de uma análise manual mais profunda.
Como se proteger
A ação principal é atualizar o WordPress. A equipe de segurança lançou o WordPress 7.0.2, além das versões de correção 6.9.5 e 6.8.6. Diante da gravidade, atualizações automáticas forçadas foram acionadas para sites em versões afetadas, mas a orientação é confirmar tudo manualmente.
Quando a atualização imediata não é viável, as medidas temporárias citadas são:
- instalar um plugin que bloqueie o acesso anônimo à REST API;
- bloquear /wp-json/batch/v1 e ?rest_route=/batch/v1 no WAF.
Esses bloqueios podem interromper funções legítimas da REST API. Por isso, devem servir apenas como contenção emergencial, até que a atualização completa seja aplicada.
Checklist pratico
- Abra o painel do WordPress e confirme a versão instalada em Atualizações.
- Atualize para 7.0.2, 6.9.5 ou 6.8.6, conforme a linha usada no seu ambiente.
- Se o patch não puder entrar de imediato, bloqueie temporariamente as rotas batch da REST API no WAF.
- Verifique se as atualizações automáticas foram realmente aplicadas.
- Registre quais sites já foram corrigidos e quais ainda dependem de mitigação temporária.
Perguntas frequentes
Sites WordPress sem plugins também podem ser afetados?
Sim. O relato indica que a falha atinge instalações padrão do WordPress, mesmo sem plugins instalados.
Qual versão corrige o problema?
A correção principal saiu no WordPress 7.0.2, com backports nas versões 6.9.5 e 6.8.6.
Bloquear a REST API resolve definitivamente?
Não. O bloqueio é uma medida emergencial. A solução definitiva é aplicar a atualização de segurança correspondente.
Proteja sua empresa com a LC SEC
Se sua empresa mantém sites WordPress, a LC SEC pode apoiar na validação de versões, na revisão de exposição da REST API, na priorização de correções e nos testes de segurança após o patch.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Fontes:
https://gbhackers.com/critical-wordpress-core-flaw/
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.

