🚨Falha grave no WordPress permite invasão sem nenhum plugin instalado
Uma vulnerabilidade séria foi descoberta no núcleo do WordPress, a plataforma que roda boa parte dos sites da internet. O problema, batizado de wp2shell, permite que um atacante execute código malicioso no servidor enviando uma única requisição anônima, sem precisar de login, sem precisar de nenhum plugin instalado. Basta o site estar rodando as versões 6.9.0 até 6.9.4 ou 7.0.0 até 7.0.1. --- O mais preocupante: a falha ainda não tem um CVE (o código de identificação que permite aos scanners de segurança detectá-la automaticamente). Ou seja, ferramentas automáticas de proteção podem não estar barrando o ataque. A correção já existe nas versões 6.9.5, 7.0.2 e 7.1 beta 2. Se você administra um site WordPress, atualize agora. Enquanto não atualizar, o conselho dos pesquisadores é bloquear o acesso anônimo às rotas de batch da API REST.

Uma vulnerabilidade séria foi descoberta no núcleo do WordPress, a plataforma que roda boa parte dos sites da internet. O problema, batizado de wp2shell, permite que um atacante execute código malicioso no servidor enviando uma única requisição anônima, sem precisar de login, sem precisar de nenhum plugin instalado. Basta o site estar rodando as versões 6.9.0 até 6.9.4 ou 7.0.0 até 7.0.1.
— @TheHackersNews View on X
Uma vulnerabilidade de execução remota de código (RCE) no núcleo do WordPress coloca em risco sites que rodem as versões 6.9.0 a 6.9.4 ou 7.0.0 a 7.0.1. Conhecida como wp2shell, a falha permite a execução de código malicioso no servidor através de uma única requisição anônima, sem autenticação e sem a presença de plugins vulneráveis. A correção foi publicada nas versões 6.9.5, 7.0.2 e 7.1 beta 2. A recomendação imediata é atualizar todos os ambientes. Como medida temporária, equipes de segurança devem bloquear o acesso anônimo às rotas de batch da API REST.
Vetor de ataque e escopo
A wp2shell explora o mecanismo de processamento em lote da API REST nativa do WordPress. O atacante envia uma requisição HTTP não autenticada que resulta em execução arbitrária de código no ambiente servidor. A vulnerabilidade afeta exclusivamente o core do CMS, o que significa que sites com instalações mínimas — sem temas customizados ou plugins de terceiros — também estão expostos.
Versões impactadas: - 6.9.0 até 6.9.4 - 7.0.0 até 7.0.1
A problemática do CVE ausente
A falha ainda não possui identificação CVE. Sem esse registro, scanners de vulnerabilidades e firewalls de aplicação web (WAF) podem não identificar o padrão de ataque automaticamente. A defesa baseada apenas em assinaturas automáticas fica comprometida, obrigando times de segurança a agirem com base em inteligência manual até a formalização do código.
Ações de mitigação
A prioridade é aplicar o patch oficial imediatamente. Para casos em que a atualização não puder ocorrer no curto prazo, a mitigação temporária passa por restringir endpoints batch da API REST para usuários anônimos, via configuração no servidor web ou filtros no próprio WordPress.
Passos recomendados: - Atualizar o núcleo para 6.9.5, 7.0.2 ou superior - Bloquear requisições anônimas às rotas batch da API REST - Auditar logs de acesso em busca de requisições POST suspeitas às endpoints REST
Impacto para builders e devs no Brasil
O WordPress concentra a maior fatia do mercado de CMS no país, desde blogs até plataformas de e-commerce e aplicações SaaS. Para desenvolvedores e agências que mantêm múltiplas instâncias, a wp2shell representa um risco sistêmico: um único site desatualizado pode servir de entrada para comprometimento de servidores compartilhados ou ambientes de hospedagem gerenciada. A natureza da falha — independente de plugins — elimina a falsa sensação de segurança de quem opera instalações enxutas. Manter um pipeline de patching contínuo e monitorar ativamente os logs da API REST são práticas essenciais para reduzir a janela de exposição.
