Voltar ao início do blog

Falha no WordPress Core permite RCE sem login nas versoes 6.9 e 7.0

Vulnerabilidade

WordPress Core com RCE sem login: saiba o impacto

Falha wp2shell afeta instalações padrão e pode permitir controle remoto do site.

Falha no WordPress Core permite RCE sem login nas versoes 6.9 e 7.0

Resumo rapido

Uma falha no WordPress Core, chamada wp2shell, permite execução remota de código antes do login. O problema atinge as versões 6.9.0 a 6.9.4 e 7.0.0 a 7.0.1. A correção chegou nas versões 7.0.2, 6.9.5 e 6.8.6, e existem medidas temporárias para bloquear rotas da REST API enquanto o patch não é aplicado.

Neste artigo voce vai aprender:

  • O que é a falha wp2shell no WordPress Core.
  • Quais versões do WordPress foram citadas como afetadas.
  • Por que o risco é alto mesmo sem plugins instalados.
  • Quais atualizações e bloqueios temporários foram recomendados.
  • Como montar uma resposta rápida para sites WordPress.

O que aconteceu

Foi divulgada uma vulnerabilidade crítica no WordPress Core, apelidada de wp2shell. Segundo o relato analisado, ela abre caminho para execução remota de código sem autenticação. Traduzindo: um invasor consegue tentar enviar comandos ao site sem usuário, senha ou acesso prévio.

O que torna o caso grave é a escala. O WordPress sustenta uma base estimada de 500 milhões de sites no mundo, e a falha foi descrita como capaz de atingir instalações padrão, mesmo sem nenhum plugin adicionado.

Como a falha funciona

O ataque combina duas peças. De um lado, uma confusão em rotas em lote da REST API; de outro, uma falha de injeção SQL. Juntas, elas formam a cadeia que leva à execução remota de código.

Foram citados dois registros: CVE-2026-63030, ligado à cadeia de RCE, e CVE-2026-60137, associado a uma segunda falha de injeção SQL. Os detalhes técnicos de exploração não foram publicados, justamente para dar tempo aos administradores de corrigirem seus sites antes que o passo a passo circule.

Como identificar risco

O primeiro indicador de exposição é a versão instalada. De acordo com as informações divulgadas:

  • WordPress 6.9.0 a 6.9.4: afetado pelas duas vulnerabilidades.
  • WordPress 7.0.0 a 7.0.1: afetado pelas duas vulnerabilidades.
  • WordPress 7.1 beta: afetado nas versões beta, com correção no beta2.
  • WordPress até 6.8.5: não afetado pela cadeia de RCE, mas a linha 6.8.x foi citada em relação ao CVE-2026-60137.

A Searchlight Cyber também publicou um verificador em wp2shell[.]com, que ajuda os administradores a checar a exposição sem depender de uma análise manual mais profunda.

Como se proteger

A ação principal é atualizar o WordPress. A equipe de segurança lançou o WordPress 7.0.2, além das versões de correção 6.9.5 e 6.8.6. Diante da gravidade, atualizações automáticas forçadas foram acionadas para sites em versões afetadas, mas a orientação é confirmar tudo manualmente.

Quando a atualização imediata não é viável, as medidas temporárias citadas são:

  • instalar um plugin que bloqueie o acesso anônimo à REST API;
  • bloquear /wp-json/batch/v1 e ?rest_route=/batch/v1 no WAF.

Esses bloqueios podem interromper funções legítimas da REST API. Por isso, devem servir apenas como contenção emergencial, até que a atualização completa seja aplicada.

Checklist pratico

  1. Abra o painel do WordPress e confirme a versão instalada em Atualizações.
  2. Atualize para 7.0.2, 6.9.5 ou 6.8.6, conforme a linha usada no seu ambiente.
  3. Se o patch não puder entrar de imediato, bloqueie temporariamente as rotas batch da REST API no WAF.
  4. Verifique se as atualizações automáticas foram realmente aplicadas.
  5. Registre quais sites já foram corrigidos e quais ainda dependem de mitigação temporária.

Perguntas frequentes

Sites WordPress sem plugins também podem ser afetados?

Sim. O relato indica que a falha atinge instalações padrão do WordPress, mesmo sem plugins instalados.

Qual versão corrige o problema?

A correção principal saiu no WordPress 7.0.2, com backports nas versões 6.9.5 e 6.8.6.

Bloquear a REST API resolve definitivamente?

Não. O bloqueio é uma medida emergencial. A solução definitiva é aplicar a atualização de segurança correspondente.

Proteja sua empresa com a LC SEC

Se sua empresa mantém sites WordPress, a LC SEC pode apoiar na validação de versões, na revisão de exposição da REST API, na priorização de correções e nos testes de segurança após o patch.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://gbhackers.com/critical-wordpress-core-flaw/

Compartilhe nas redes sociais:

Conteúdos relacionados

Alertas de cibersegurança direto no Telegram

Vazamentos, vulnerabilidades críticas e tendências — curadoria diária pela nossa equipe de threat intel. Entre no canal oficial e fique à frente das ameaças.

Entrar no canal