Blog

WordPress wp2shell permite RCE pre-auth via REST API em 6.9 e 7.0

Escrito por Luiz Claudio | 18/07/2026 10:17:11
Vulnerabilidade

WordPress wp2shell tem RCE pré-auth; aja já

Falha crítica afeta versões 6.9 e 7.0 e já tem correção disponível.

Navegacao

O que aconteceu Como a falha funciona Como identificar risco O que fazer agora Checklist pratico

Resumo rapido

A vulnerabilidade crítica CVE-2026-63030 foi divulgada no WordPress wp2shell. Ela permite execução remota de código antes do login pela REST API e ainda envolve SQLi. As versões afetadas vão de 6.9.0 a 6.9.4 e de 7.0.0 a 7.0.1. As correções estão nas versões 6.9.5 e 7.0.2, com auto-update forçado.

Neste artigo voce vai aprender:

  • Quais versões do WordPress wp2shell foram afetadas.
  • Por que uma falha pré-auth aumenta o risco.
  • O que significa RCE em termos práticos.
  • Quais sinais devem ser verificados após a correção.
  • Quais ações priorizar imediatamente.

O que aconteceu

Entre 17 e 18 de julho, uma falha crítica no WordPress wp2shell foi reportada sob o identificador CVE-2026-63030. O alerta aponta impacto nas versões 6.9.0 a 6.9.4 e 7.0.0 a 7.0.1. A gravidade está no tipo de consequência: execução remota de código antes da autenticação, o chamado RCE pré-auth.

Na prática, um invasor poderia executar comandos no ambiente afetado sem precisar estar logado. O resumo também cita SQLi, uma falha que interfere em consultas ao banco de dados. Há ainda PoC disponível, um exemplo público que demonstra o problema e tende a acelerar as tentativas de exploração.

Como a falha funciona

O vetor descrito envolve a REST API e uma confusão em rotas de lote, batizada no alerta de batch-route confusion. A REST API é o canal que sistemas e recursos do site usam para trocar informações. Quando essa camada apresenta uma falha, requisições maliciosas conseguem chegar diretamente ao serviço vulnerável.

O detalhe mais grave está no termo pré-auth: a tentativa acontece antes do login. Por isso o risco não se limita a contas com senha fraca. Mesmo sites sem nenhum usuário comprometido precisam tratar o caso como urgente se estiverem nas versões afetadas.

Como identificar risco

O primeiro passo é confirmar a versão instalada do WordPress wp2shell. Se ela estiver entre 6.9.0 e 6.9.4 ou entre 7.0.0 e 7.0.1, o ambiente está dentro do escopo informado. Depois de atualizar, vale revisar alguns sinais básicos:

  • alterações inesperadas em arquivos do site;
  • novas contas administrativas não reconhecidas;
  • mudanças recentes em páginas, plugins ou configurações;
  • comportamento incomum em formulários, API ou banco de dados;
  • falhas repetidas ou erros após requisições externas.

O que fazer agora

As versões corrigidas são 6.9.5 e 7.0.2, com auto-update forçado informado no alerta. Ainda assim, não confie apenas na atualização automática: confirme manualmente se a correção foi aplicada. Em seguida, revise o site partindo do princípio de que ele pode ter recebido tentativas de ataque antes do patch.

Se a sua empresa roda WordPress wp2shell em produção, priorize backup, validação de integridade, revisão de contas com privilégio e monitoramento de eventos recentes. Com PoC disponível, cada hora de exposição conta, então reduza essa janela o quanto antes.

Checklist pratico

  1. Verifique se o WordPress wp2shell está em 6.9.5 ou 7.0.2.
  2. Confirme se o auto-update foi aplicado em todos os ambientes, inclusive homologação.
  3. Revise contas administrativas, arquivos alterados e mudanças recentes no site.
  4. Mantenha backup atualizado antes e depois da correção.
  5. Monitore acessos incomuns à REST API e erros ligados ao banco de dados.

Perguntas frequentes

Quais versões estão vulneráveis?

O alerta cita as versões 6.9.0 a 6.9.4 e 7.0.0 a 7.0.1 do WordPress wp2shell.

Quais versões corrigem o problema?

As correções foram lançadas nas versões 6.9.5 e 7.0.2, com auto-update forçado informado.

Por que a PoC disponível aumenta a urgência?

Porque a PoC é uma demonstração pública do problema. Ela facilita que terceiros testem ataques contra sites ainda desatualizados.

Proteja sua empresa com a LC SEC

A LC SEC apoia empresas na validação de vulnerabilidades, priorização de correções e resposta a incidentes em ambientes WordPress e aplicações web críticas.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes: