Análisis Principal
Seguridad y Riesgo5 min

WordPress lanza parche de emergencia para falla crítica que permite acceso remoto sin contraseña en 500 millones de sitios

Terminal de servidor exibindo alertas de segurança em vermelho durante resposta a incidente de madrugada em sala de servidores.

Las versiones 7.0.2, 6.9.5 y 6.8.6, lanzadas el 17 de julio, corrigen la cadena wp2shell: dos CVEs encadenados que permiten ejecución remota de código sin autenticación en cualquier instalación estándar. PoC público desde el día del parche.

WordPress liberó el 17 de julio las versiones 7.0.2, 6.9.5 y 6.8.6, correcciones de emergencia para dos vulnerabilidades en el núcleo de la plataforma que, encadenadas, entregan ejecución remota de código a cualquier atacante sin credenciales. La organización habilitó actualizaciones automáticas forzadas para los sitios afectados, un recurso que el equipo de seguridad solo activa en situaciones de riesgo crítico.


La cadena recibió el nombre de wp2shell por la comunidad de seguridad. Son dos CVEs distintos: CVE-2026-63030, confusión en la ruta de batch de la REST API, y CVE-2026-60137, inyección SQL en el parámetro author__not_in de WP_Query, con puntuación CVSS 9.1. Juntos, permiten que una solicitud HTTP anónima comprometa completamente el servidor. Searchlight Cyber estima que más de 500 millones de sitios corren WordPress. Las versiones vulnerables cubren las series 6.8.x, 6.9.x y 7.0.x, sin excepción para instalaciones sin plugins adicionales.


La cadena en dos pasos


El ataque comienza en el endpoint de batch de la REST API, ruta /wp-json/wp/v2/batch, que procesa múltiples solicitudes en paralelo. CVE-2026-63030 explora una confusión en el parser interno: una ruta malformada hace que WordPress trate datos externos como parámetros internos de consulta. Esto abre el segundo estadio. CVE-2026-60137 aprovecha que WP_Query no higieniza el campo author__not_in, inyectando SQL directo en la consulta a la base de datos. La secuencia entrega ejecución de comandos en el sistema operativo subyacente por la vía clásica de SQLi avanzada. No es necesario tener cuenta de usuario, plugin adicional o interacción humana: una instalación estándar de WordPress es suficiente.


Beazley Security publicó un análisis detallado de la cadena completa en el advisory BSL-A1193. El código de prueba de concepto está disponible públicamente en GitHub desde el día del parche. Cloudflare implementó reglas de WAF cubriendo el endpoint malicioso, pero la protección se aplica solo a clientes en los planes Business y Enterprise.


Los entornos más críticos


Los sitios que desactivaron actualizaciones automáticas por necesidad operacional, como despliegues corporativos con pipelines de CI/CD personalizados, portales de intranet con temas propietarios y tiendas WooCommerce con integraciones de terceros, forman el subconjunto más expuesto. Son precisamente aquellos que WordPress no puede forzar a actualizar y que suelen concentrar los datos más valiosos.


En plataformas de hospedaje compartido y entornos multitenant, el riesgo se multiplica: un único servidor comprometido puede exponer los archivos y las bases de datos de decenas de clientes distintos en el mismo entorno, creando responsabilidad cruzada entre el proveedor y los clientes finales.


Consultoras de TI y MSPs con portafolios en WordPress enfrentan dos pasivos simultáneos. El primero es técnico: un sitio comprometido puede servir de punto de entrada para sistemas adyacentes del cliente por credenciales compartidas o acceso a la base de datos. El segundo es regulatorio. En la Unión Europea, el RGPD obliga a los controladores de datos a notificar a la autoridad supervisora competente en un plazo de 72 horas tras identificar una violación que involucre datos personales. La multa por no notificación puede llegar a 10 millones de euros o el 2% de la facturación global anual, lo que sea mayor.


En Estados Unidos, las leyes estatales de California y Nueva York fijan plazos de 30 a 72 horas. Para proveedores con SLAs que cubren seguridad de la plataforma, el pasivo contractual se suma al regulatorio.


Mitigación y protocolo de respuesta


Actualizar a 7.0.2, 6.9.5 o 6.8.6 es la única mitigación definitiva. Los sitios que no pueden aplicar el parche inmediatamente tienen una opción de contención: bloquear el endpoint /wp-json/wp/v2/batch en el WAF o en el servidor web. La mayoría de los sitios editoriales e institucionales no utilizan este endpoint en producción y pueden bloquearlo sin impacto funcional.


Los sitios headless que dependen de la REST API para aplicaciones de terceros no tienen esta alternativa. Para ellos, el parche es urgente y sin sustituto. Rapid7 publicó un análisis técnico con indicadores de compromiso que los equipos de SOC pueden incorporar a las reglas de detección de forma inmediata.


El código de explotación público desde el 17 de julio coloca a todos los sitios sin parche en un riesgo creciente. El patrón documentado en fallas críticas de CMS populares es consistente: comprometimientos masivos a gran escala comienzan dentro de las 72 horas tras la disponibilidad del PoC. Para consultoras con portafolios de clientes, cada sitio sin actualización hasta el 20 de julio representa un vector de incidente abierto y un plazo de notificación regulatoria que puede ya estar corriendo.

Análisis Principal