WordPress wp2shell tem RCE pré-auth; aja já
Falha crítica afeta versões 6.9 e 7.0 e já tem correção disponível.

Resumo rapido
A vulnerabilidade crítica CVE-2026-63030 foi divulgada no WordPress wp2shell. Ela permite execução remota de código antes do login pela REST API e ainda envolve SQLi. As versões afetadas vão de 6.9.0 a 6.9.4 e de 7.0.0 a 7.0.1. As correções estão nas versões 6.9.5 e 7.0.2, com auto-update forçado.
Neste artigo voce vai aprender:
- Quais versões do WordPress wp2shell foram afetadas.
- Por que uma falha pré-auth aumenta o risco.
- O que significa RCE em termos práticos.
- Quais sinais devem ser verificados após a correção.
- Quais ações priorizar imediatamente.
O que aconteceu
Entre 17 e 18 de julho, uma falha crítica no WordPress wp2shell foi reportada sob o identificador CVE-2026-63030. O alerta aponta impacto nas versões 6.9.0 a 6.9.4 e 7.0.0 a 7.0.1. A gravidade está no tipo de consequência: execução remota de código antes da autenticação, o chamado RCE pré-auth.
Na prática, um invasor poderia executar comandos no ambiente afetado sem precisar estar logado. O resumo também cita SQLi, uma falha que interfere em consultas ao banco de dados. Há ainda PoC disponível, um exemplo público que demonstra o problema e tende a acelerar as tentativas de exploração.
Como a falha funciona
O vetor descrito envolve a REST API e uma confusão em rotas de lote, batizada no alerta de batch-route confusion. A REST API é o canal que sistemas e recursos do site usam para trocar informações. Quando essa camada apresenta uma falha, requisições maliciosas conseguem chegar diretamente ao serviço vulnerável.
O detalhe mais grave está no termo pré-auth: a tentativa acontece antes do login. Por isso o risco não se limita a contas com senha fraca. Mesmo sites sem nenhum usuário comprometido precisam tratar o caso como urgente se estiverem nas versões afetadas.
Como identificar risco
O primeiro passo é confirmar a versão instalada do WordPress wp2shell. Se ela estiver entre 6.9.0 e 6.9.4 ou entre 7.0.0 e 7.0.1, o ambiente está dentro do escopo informado. Depois de atualizar, vale revisar alguns sinais básicos:
- alterações inesperadas em arquivos do site;
- novas contas administrativas não reconhecidas;
- mudanças recentes em páginas, plugins ou configurações;
- comportamento incomum em formulários, API ou banco de dados;
- falhas repetidas ou erros após requisições externas.
O que fazer agora
As versões corrigidas são 6.9.5 e 7.0.2, com auto-update forçado informado no alerta. Ainda assim, não confie apenas na atualização automática: confirme manualmente se a correção foi aplicada. Em seguida, revise o site partindo do princípio de que ele pode ter recebido tentativas de ataque antes do patch.
Se a sua empresa roda WordPress wp2shell em produção, priorize backup, validação de integridade, revisão de contas com privilégio e monitoramento de eventos recentes. Com PoC disponível, cada hora de exposição conta, então reduza essa janela o quanto antes.
Checklist pratico
- Verifique se o WordPress wp2shell está em 6.9.5 ou 7.0.2.
- Confirme se o auto-update foi aplicado em todos os ambientes, inclusive homologação.
- Revise contas administrativas, arquivos alterados e mudanças recentes no site.
- Mantenha backup atualizado antes e depois da correção.
- Monitore acessos incomuns à REST API e erros ligados ao banco de dados.
Perguntas frequentes
Quais versões estão vulneráveis?
O alerta cita as versões 6.9.0 a 6.9.4 e 7.0.0 a 7.0.1 do WordPress wp2shell.
Quais versões corrigem o problema?
As correções foram lançadas nas versões 6.9.5 e 7.0.2, com auto-update forçado informado.
Por que a PoC disponível aumenta a urgência?
Porque a PoC é uma demonstração pública do problema. Ela facilita que terceiros testem ataques contra sites ainda desatualizados.
Proteja sua empresa com a LC SEC
A LC SEC apoia empresas na validação de vulnerabilidades, priorização de correções e resposta a incidentes em ambientes WordPress e aplicações web críticas.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.

