Falha no WordPress: corrija as versões afetadas
Vulnerabilidade wp2shell pode permitir invasão sem senha em instalações recentes do CMS.

Resumo rapido
Uma falha no WordPress Core, chamada wp2shell, foi divulgada como uma vulnerabilidade de execução remota de código antes do login. Segundo o relato, ela atinge instalações padrão do WordPress, mesmo sem nenhum plugin. As correções indicadas são WordPress 7.0.2, 6.9.5 e 6.8.6.
Neste artigo voce vai aprender:
- O que é a falha wp2shell no WordPress Core.
- Por que o risco é alto para sites expostos na internet.
- Quais versões foram listadas como afetadas ou corrigidas.
- Quais medidas temporárias podem reduzir a exposição.
- Como montar um checklist rápido de resposta.
Falha permite invasão sem usuário nem senha
Foi divulgada uma vulnerabilidade crítica no WordPress Core, apelidada de wp2shell. O ponto mais grave, conforme o texto original, é que o ataque não exige usuário, senha ou plugin instalado. Na prática, um invasor anônimo poderia explorar um site vulnerável recém-instalado.
O problema foi associado ao CVE-2026-63030 e a uma segunda falha relacionada, o CVE-2026-60137. Como o WordPress sustenta uma base estimada de 500 milhões de sites no mundo, o impacto potencial alcança empresas, lojas virtuais, blogs e portais de todos os tamanhos.
A combinação por trás da execução remota
Em termos simples, a falha junta dois problemas: uma confusão em uma rota de processamento em lote da API REST do WordPress e uma brecha em consultas ao banco de dados. Somadas, essas duas fraquezas abrem caminho para execução remota de código, ou seja, permitem que alguém rode comandos no servidor sem qualquer autorização.
Os detalhes técnicos da exploração não foram publicados, justamente para dar tempo aos administradores atualizarem seus sites. Ainda assim, o risco de exploração automatizada cresce quando atacantes comparam as diferenças entre versões corrigidas e vulneráveis.
Versões afetadas
Segundo o texto fornecido, a lista de impacto é a seguinte:
- WordPress até 6.8.5: não afetado pela cadeia de RCE; a linha 6.8.x aparece apenas na falha CVE-2026-60137.
- WordPress 6.9.0 a 6.9.4: afetado pelas duas vulnerabilidades.
- WordPress 7.0.0 a 7.0.1: afetado pelas duas vulnerabilidades.
- WordPress 7.1 beta: afetado, com correção indicada no 7.1 beta2.
O sinal de alerta é objetivo: se o seu site roda uma dessas versões, ele deve entrar na fila de correção como prioridade máxima.
O que fazer agora
A orientação central é atualizar. A equipe de segurança do WordPress respondeu com a versão 7.0.2, além dos backports 6.9.5 e 6.8.6. O texto também informa que atualizações automáticas forçadas foram ativadas para as versões afetadas, mas o administrador não deve depender apenas disso.
- Acesse o painel do WordPress e vá em Atualizações.
- Verifique se a versão instalada já é 7.0.2, 6.9.5 ou 6.8.6.
- Se não puder atualizar imediatamente, bloqueie temporariamente o acesso anônimo à API REST.
- No WAF, bloqueie /wp-json/batch/v1 e ?rest_route=/batch/v1 como medida emergencial.
Esses bloqueios podem quebrar funções legítimas da API REST, portanto devem servir apenas como contenção temporária até a atualização definitiva.
Checklist prático
- Confirmar a versão exata do WordPress em todos os sites sob sua gestão.
- Aplicar WordPress 7.0.2, 6.9.5 ou 6.8.6 conforme a linha usada.
- Se a atualização atrasar, bloquear temporariamente as rotas REST indicadas no WAF.
- Usar o scanner público em wp2shell[.]com para checar exposição.
- Revisar logs e acessos administrativos após a correção.
Perguntas frequentes
Meu site sem plugins pode estar vulnerável?
Sim, desde que esteja em uma das versões afetadas. O relato afirma que a falha atinge instalações padrão do WordPress, mesmo com zero plugins instalados.
Atualização automática resolve sozinha?
Pode ajudar, já que o WordPress ativou atualizações forçadas para as versões afetadas. Mesmo assim, o ideal é conferir manualmente qual versão está instalada.
Bloquear a API REST é solução definitiva?
Não. É apenas uma medida emergencial. A correção definitiva continua sendo atualizar para uma versão corrigida do WordPress.
Proteja sua empresa com a MFA2GO
Falhas sem login mostram que segurança não depende só de senhas fortes. A MFA2GO ajuda sua empresa a reforçar acessos, reduzir risco de invasões e organizar controles de autenticação para ambientes críticos.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com
Fontes:
https://gbhackers.com/critical-wordpress-core-flaw/
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.
