Vulnerabilidade wp2shell pode permitir invasão sem senha em instalações recentes do CMS.
Uma falha no WordPress Core, chamada wp2shell, foi divulgada como uma vulnerabilidade de execução remota de código antes do login. Segundo o relato, ela atinge instalações padrão do WordPress, mesmo sem nenhum plugin. As correções indicadas são WordPress 7.0.2, 6.9.5 e 6.8.6.
Foi divulgada uma vulnerabilidade crítica no WordPress Core, apelidada de wp2shell. O ponto mais grave, conforme o texto original, é que o ataque não exige usuário, senha ou plugin instalado. Na prática, um invasor anônimo poderia explorar um site vulnerável recém-instalado.
O problema foi associado ao CVE-2026-63030 e a uma segunda falha relacionada, o CVE-2026-60137. Como o WordPress sustenta uma base estimada de 500 milhões de sites no mundo, o impacto potencial alcança empresas, lojas virtuais, blogs e portais de todos os tamanhos.
Em termos simples, a falha junta dois problemas: uma confusão em uma rota de processamento em lote da API REST do WordPress e uma brecha em consultas ao banco de dados. Somadas, essas duas fraquezas abrem caminho para execução remota de código, ou seja, permitem que alguém rode comandos no servidor sem qualquer autorização.
Os detalhes técnicos da exploração não foram publicados, justamente para dar tempo aos administradores atualizarem seus sites. Ainda assim, o risco de exploração automatizada cresce quando atacantes comparam as diferenças entre versões corrigidas e vulneráveis.
Segundo o texto fornecido, a lista de impacto é a seguinte:
O sinal de alerta é objetivo: se o seu site roda uma dessas versões, ele deve entrar na fila de correção como prioridade máxima.
A orientação central é atualizar. A equipe de segurança do WordPress respondeu com a versão 7.0.2, além dos backports 6.9.5 e 6.8.6. O texto também informa que atualizações automáticas forçadas foram ativadas para as versões afetadas, mas o administrador não deve depender apenas disso.
Esses bloqueios podem quebrar funções legítimas da API REST, portanto devem servir apenas como contenção temporária até a atualização definitiva.
Sim, desde que esteja em uma das versões afetadas. O relato afirma que a falha atinge instalações padrão do WordPress, mesmo com zero plugins instalados.
Pode ajudar, já que o WordPress ativou atualizações forçadas para as versões afetadas. Mesmo assim, o ideal é conferir manualmente qual versão está instalada.
Não. É apenas uma medida emergencial. A correção definitiva continua sendo atualizar para uma versão corrigida do WordPress.
Falhas sem login mostram que segurança não depende só de senhas fortes. A MFA2GO ajuda sua empresa a reforçar acessos, reduzir risco de invasões e organizar controles de autenticação para ambientes críticos.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com