WordPress lança patch emergencial para falha crítica que permite acesso remoto sem senha em 500 milhões de sites

As versões 7.0.2, 6.9.5 e 6.8.6, lançadas em 17 de julho, corrigem a cadeia wp2shell: dois CVEs encadeados que permitem execução remota de código sem autenticação em qualquer instalação padrão. PoC público desde o dia do patch.
O WordPress liberou em 17 de julho as versões 7.0.2, 6.9.5 e 6.8.6, correções emergenciais para duas vulnerabilidades no núcleo da plataforma que, encadeadas, entregam execução remota de código a qualquer atacante sem credenciais. A organização habilitou atualizações automáticas forçadas para sites afetados, um recurso que a equipe de segurança só ativa em situações de risco crítico.
A cadeia recebeu o nome de wp2shell pela comunidade de segurança. São dois CVEs distintos: CVE-2026-63030, confusão na rota de batch da REST API, e CVE-2026-60137, injeção SQL no parâmetro author__not_in do WP_Query, com pontuação CVSS 9.1. Juntos, permitem que uma requisição HTTP anônima comprometa completamente o servidor. A Searchlight Cyber estima que mais de 500 milhões de sites rodam WordPress. As versões vulneráveis cobrem as séries 6.8.x, 6.9.x e 7.0.x, sem exceção para instalações sem plugins adicionais.
A cadeia em dois passos
O ataque começa no endpoint de batch da REST API, rota /wp-json/wp/v2/batch, que processa múltiplas requisições em paralelo. CVE-2026-63030 explora uma confusão no parser interno: uma rota malformada faz o WordPress tratar dados externos como parâmetros internos de consulta. Isso abre o segundo estágio. CVE-2026-60137 aproveita que o WP_Query não higieniza o campo author__not_in, injetando SQL direto na consulta ao banco de dados. A sequência entrega execução de comandos no sistema operacional subjacente pela via clássica de SQLi avançada. Não é preciso conta de usuário, plugin adicional ou interação humana: uma instalação padrão do WordPress basta.
A Beazley Security publicou análise detalhada da cadeia completa no advisory BSL-A1193. O código de prova de conceito está disponível publicamente no GitHub desde o dia do patch. A Cloudflare implantou regras de WAF cobrindo o endpoint malicioso, mas a proteção se aplica apenas a clientes nos planos Business e Enterprise.
Os ambientes mais críticos
Sites que desativaram atualizações automáticas por necessidade operacional, como deployments corporativos com pipelines de CI/CD customizados, portais de intranet com temas proprietários e lojas WooCommerce com integrações de terceiros, formam o subconjunto mais exposto. São justamente os que o WordPress não consegue forçar a atualizar e que costumam concentrar os dados mais valiosos.
Em plataformas de hospedagem compartilhada e ambientes multitenant, o risco se multiplica: um único servidor comprometido pode expor os arquivos e os bancos de dados de dezenas de clientes distintos no mesmo ambiente, criando responsabilidade cruzada entre o provedor e os clientes finais.
Consultoras de TI e MSPs com portfólios em WordPress enfrentam dois passivos simultâneos. O primeiro é técnico: um site comprometido pode servir de ponto de entrada para sistemas adjacentes do cliente por credenciais compartilhadas ou acesso a banco de dados. O segundo é regulatório. Na União Europeia, o RGPD obriga controladores de dados a notificar a autoridade supervisora competente em até 72 horas após identificar uma violação que envolva dados pessoais. A multa por não-notificação pode chegar a 10 milhões de euros ou 2% do faturamento global anual, o que for maior.
Nos Estados Unidos, as leis estaduais de Califórnia e Nova York fixam prazos de 30 a 72 horas. Para provedores com SLAs cobrindo segurança de plataforma, o passivo contratual soma-se ao regulatório.
Mitigação e protocolo de resposta
Atualizar para 7.0.2, 6.9.5 ou 6.8.6 é a única mitigação definitiva. Sites que não podem aplicar o patch imediatamente têm uma opção de contenção: bloquear o endpoint /wp-json/wp/v2/batch no WAF ou no servidor web. A maioria dos sites editoriais e institucionais não usa esse endpoint em produção e pode bloqueá-lo sem impacto funcional.
Sites headless que dependem da REST API para aplicativos de terceiros não têm essa alternativa. Para eles, o patch é urgente e sem substituto. A Rapid7 publicou análise técnica com indicadores de comprometimento que equipes de SOC podem incorporar às regras de detecção de forma imediata.
O código de exploração público desde 17 de julho coloca todos os sites sem patch em risco crescente. O padrão documentado em falhas críticas de CMS populares é consistente: comprometimentos massivos em escala começam dentro de 72 horas após a disponibilização do PoC. Para consultoras com portfólios de clientes, cada site sem atualização até 20 de julho representa um vetor de incidente aberto e um prazo de notificação regulatória que pode já estar correndo.