Falha crítica afeta versões 6.9 e 7.0 e já tem correção disponível.
A vulnerabilidade crítica CVE-2026-63030 foi divulgada no WordPress wp2shell. Ela permite execução remota de código antes do login pela REST API e ainda envolve SQLi. As versões afetadas vão de 6.9.0 a 6.9.4 e de 7.0.0 a 7.0.1. As correções estão nas versões 6.9.5 e 7.0.2, com auto-update forçado.
Entre 17 e 18 de julho, uma falha crítica no WordPress wp2shell foi reportada sob o identificador CVE-2026-63030. O alerta aponta impacto nas versões 6.9.0 a 6.9.4 e 7.0.0 a 7.0.1. A gravidade está no tipo de consequência: execução remota de código antes da autenticação, o chamado RCE pré-auth.
Na prática, um invasor poderia executar comandos no ambiente afetado sem precisar estar logado. O resumo também cita SQLi, uma falha que interfere em consultas ao banco de dados. Há ainda PoC disponível, um exemplo público que demonstra o problema e tende a acelerar as tentativas de exploração.
O vetor descrito envolve a REST API e uma confusão em rotas de lote, batizada no alerta de batch-route confusion. A REST API é o canal que sistemas e recursos do site usam para trocar informações. Quando essa camada apresenta uma falha, requisições maliciosas conseguem chegar diretamente ao serviço vulnerável.
O detalhe mais grave está no termo pré-auth: a tentativa acontece antes do login. Por isso o risco não se limita a contas com senha fraca. Mesmo sites sem nenhum usuário comprometido precisam tratar o caso como urgente se estiverem nas versões afetadas.
O primeiro passo é confirmar a versão instalada do WordPress wp2shell. Se ela estiver entre 6.9.0 e 6.9.4 ou entre 7.0.0 e 7.0.1, o ambiente está dentro do escopo informado. Depois de atualizar, vale revisar alguns sinais básicos:
As versões corrigidas são 6.9.5 e 7.0.2, com auto-update forçado informado no alerta. Ainda assim, não confie apenas na atualização automática: confirme manualmente se a correção foi aplicada. Em seguida, revise o site partindo do princípio de que ele pode ter recebido tentativas de ataque antes do patch.
Se a sua empresa roda WordPress wp2shell em produção, priorize backup, validação de integridade, revisão de contas com privilégio e monitoramento de eventos recentes. Com PoC disponível, cada hora de exposição conta, então reduza essa janela o quanto antes.
O alerta cita as versões 6.9.0 a 6.9.4 e 7.0.0 a 7.0.1 do WordPress wp2shell.
As correções foram lançadas nas versões 6.9.5 e 7.0.2, com auto-update forçado informado.
Porque a PoC é uma demonstração pública do problema. Ela facilita que terceiros testem ataques contra sites ainda desatualizados.
A LC SEC apoia empresas na validação de vulnerabilidades, priorização de correções e resposta a incidentes em ambientes WordPress e aplicações web críticas.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io