Análise Principal
Segurança & Risco5 min

WordPress lança patch emergencial para falha crítica que permite acesso remoto sem senha em 500 milhões de sites

Terminal de servidor exibindo alertas de segurança em vermelho durante resposta a incidente de madrugada em sala de servidores.

As versões 7.0.2, 6.9.5 e 6.8.6, lançadas em 17 de julho, corrigem a cadeia wp2shell: dois CVEs encadeados que permitem execução remota de código sem autenticação em qualquer instalação padrão. PoC público desde o dia do patch.

O WordPress liberou em 17 de julho as versões 7.0.2, 6.9.5 e 6.8.6, correções emergenciais para duas vulnerabilidades no núcleo da plataforma que, encadeadas, entregam execução remota de código a qualquer atacante sem credenciais. A organização habilitou atualizações automáticas forçadas para sites afetados, um recurso que a equipe de segurança só ativa em situações de risco crítico.


A cadeia recebeu o nome de wp2shell pela comunidade de segurança. São dois CVEs distintos: CVE-2026-63030, confusão na rota de batch da REST API, e CVE-2026-60137, injeção SQL no parâmetro author__not_in do WP_Query, com pontuação CVSS 9.1. Juntos, permitem que uma requisição HTTP anônima comprometa completamente o servidor. A Searchlight Cyber estima que mais de 500 milhões de sites rodam WordPress. As versões vulneráveis cobrem as séries 6.8.x, 6.9.x e 7.0.x, sem exceção para instalações sem plugins adicionais.


A cadeia em dois passos


O ataque começa no endpoint de batch da REST API, rota /wp-json/wp/v2/batch, que processa múltiplas requisições em paralelo. CVE-2026-63030 explora uma confusão no parser interno: uma rota malformada faz o WordPress tratar dados externos como parâmetros internos de consulta. Isso abre o segundo estágio. CVE-2026-60137 aproveita que o WP_Query não higieniza o campo author__not_in, injetando SQL direto na consulta ao banco de dados. A sequência entrega execução de comandos no sistema operacional subjacente pela via clássica de SQLi avançada. Não é preciso conta de usuário, plugin adicional ou interação humana: uma instalação padrão do WordPress basta.


A Beazley Security publicou análise detalhada da cadeia completa no advisory BSL-A1193. O código de prova de conceito está disponível publicamente no GitHub desde o dia do patch. A Cloudflare implantou regras de WAF cobrindo o endpoint malicioso, mas a proteção se aplica apenas a clientes nos planos Business e Enterprise.


Os ambientes mais críticos


Sites que desativaram atualizações automáticas por necessidade operacional, como deployments corporativos com pipelines de CI/CD customizados, portais de intranet com temas proprietários e lojas WooCommerce com integrações de terceiros, formam o subconjunto mais exposto. São justamente os que o WordPress não consegue forçar a atualizar e que costumam concentrar os dados mais valiosos.


Em plataformas de hospedagem compartilhada e ambientes multitenant, o risco se multiplica: um único servidor comprometido pode expor os arquivos e os bancos de dados de dezenas de clientes distintos no mesmo ambiente, criando responsabilidade cruzada entre o provedor e os clientes finais.


Consultoras de TI e MSPs com portfólios em WordPress enfrentam dois passivos simultâneos. O primeiro é técnico: um site comprometido pode servir de ponto de entrada para sistemas adjacentes do cliente por credenciais compartilhadas ou acesso a banco de dados. O segundo é regulatório. Na União Europeia, o RGPD obriga controladores de dados a notificar a autoridade supervisora competente em até 72 horas após identificar uma violação que envolva dados pessoais. A multa por não-notificação pode chegar a 10 milhões de euros ou 2% do faturamento global anual, o que for maior.


Nos Estados Unidos, as leis estaduais de Califórnia e Nova York fixam prazos de 30 a 72 horas. Para provedores com SLAs cobrindo segurança de plataforma, o passivo contratual soma-se ao regulatório.


Mitigação e protocolo de resposta


Atualizar para 7.0.2, 6.9.5 ou 6.8.6 é a única mitigação definitiva. Sites que não podem aplicar o patch imediatamente têm uma opção de contenção: bloquear o endpoint /wp-json/wp/v2/batch no WAF ou no servidor web. A maioria dos sites editoriais e institucionais não usa esse endpoint em produção e pode bloqueá-lo sem impacto funcional.


Sites headless que dependem da REST API para aplicativos de terceiros não têm essa alternativa. Para eles, o patch é urgente e sem substituto. A Rapid7 publicou análise técnica com indicadores de comprometimento que equipes de SOC podem incorporar às regras de detecção de forma imediata.


O código de exploração público desde 17 de julho coloca todos os sites sem patch em risco crescente. O padrão documentado em falhas críticas de CMS populares é consistente: comprometimentos massivos em escala começam dentro de 72 horas após a disponibilização do PoC. Para consultoras com portfólios de clientes, cada site sem atualização até 20 de julho representa um vetor de incidente aberto e um prazo de notificação regulatória que pode já estar correndo.

Análise Principal
WordPress lança patch emergencial para falha crítica que permite acesso remoto sem senha em 500 milhões de sites | The New Times