News18 JulhoFalha grave no WordPress permite invasão sem nenhum plugin instalado
Edição #157·18 de julho de 2026·2 min

🚨Falha grave no WordPress permite invasão sem nenhum plugin instalado

Uma vulnerabilidade séria foi descoberta no núcleo do WordPress, a plataforma que roda boa parte dos sites da internet. O problema, batizado de wp2shell, permite que um atacante execute código malicioso no servidor enviando uma única requisição anônima, sem precisar de login, sem precisar de nenhum plugin instalado. Basta o site estar rodando as versões 6.9.0 até 6.9.4 ou 7.0.0 até 7.0.1. --- O mais preocupante: a falha ainda não tem um CVE (o código de identificação que permite aos scanners de segurança detectá-la automaticamente). Ou seja, ferramentas automáticas de proteção podem não estar barrando o ataque. A correção já existe nas versões 6.9.5, 7.0.2 e 7.1 beta 2. Se você administra um site WordPress, atualize agora. Enquanto não atualizar, o conselho dos pesquisadores é bloquear o acesso anônimo às rotas de batch da API REST.

Falha grave no WordPress permite invasão sem nenhum plugin instalado

Uma vulnerabilidade de execução remota de código (RCE) no núcleo do WordPress coloca em risco sites que rodem as versões 6.9.0 a 6.9.4 ou 7.0.0 a 7.0.1. Conhecida como wp2shell, a falha permite a execução de código malicioso no servidor através de uma única requisição anônima, sem autenticação e sem a presença de plugins vulneráveis. A correção foi publicada nas versões 6.9.5, 7.0.2 e 7.1 beta 2. A recomendação imediata é atualizar todos os ambientes. Como medida temporária, equipes de segurança devem bloquear o acesso anônimo às rotas de batch da API REST.

Vetor de ataque e escopo

A wp2shell explora o mecanismo de processamento em lote da API REST nativa do WordPress. O atacante envia uma requisição HTTP não autenticada que resulta em execução arbitrária de código no ambiente servidor. A vulnerabilidade afeta exclusivamente o core do CMS, o que significa que sites com instalações mínimas — sem temas customizados ou plugins de terceiros — também estão expostos.

Versões impactadas: - 6.9.0 até 6.9.4 - 7.0.0 até 7.0.1

A problemática do CVE ausente

A falha ainda não possui identificação CVE. Sem esse registro, scanners de vulnerabilidades e firewalls de aplicação web (WAF) podem não identificar o padrão de ataque automaticamente. A defesa baseada apenas em assinaturas automáticas fica comprometida, obrigando times de segurança a agirem com base em inteligência manual até a formalização do código.

Ações de mitigação

A prioridade é aplicar o patch oficial imediatamente. Para casos em que a atualização não puder ocorrer no curto prazo, a mitigação temporária passa por restringir endpoints batch da API REST para usuários anônimos, via configuração no servidor web ou filtros no próprio WordPress.

Passos recomendados: - Atualizar o núcleo para 6.9.5, 7.0.2 ou superior - Bloquear requisições anônimas às rotas batch da API REST - Auditar logs de acesso em busca de requisições POST suspeitas às endpoints REST

Impacto para builders e devs no Brasil

O WordPress concentra a maior fatia do mercado de CMS no país, desde blogs até plataformas de e-commerce e aplicações SaaS. Para desenvolvedores e agências que mantêm múltiplas instâncias, a wp2shell representa um risco sistêmico: um único site desatualizado pode servir de entrada para comprometimento de servidores compartilhados ou ambientes de hospedagem gerenciada. A natureza da falha — independente de plugins — elimina a falsa sensação de segurança de quem opera instalações enxutas. Manter um pipeline de patching contínuo e monitorar ativamente os logs da API REST são práticas essenciais para reduzir a janela de exposição.

restapicódigowordpresssemnãoatéexecuçãoversõeswpshell

Mais da mesma edição

@ArtificialAnlys

🏁Seis laboratórios disputam o topo da IA depois de oito dias frenéticos

A corrida da inteligência artificial de ponta virou uma maratona com pelotão embolado. Em apenas oito dias, quatro modelos grandes foram lançados: o Grok 4.5, o GPT-5.6 (em três versões: Sol, Terra e Luna), o Muse Spark 1.1 da Meta e o Kimi K3. Resultado: seis laboratórios diferentes agora têm modelos que pontuam acima de 50 no Intelligence Index da Artificial Analysis, um índice que mede a capacidade geral de raciocínio. Até o início de junho, só dois labs estavam nesse patamar. --- O líder continua sendo o Claude Fable 5 da Anthropic, com 60 pontos, mas a vantagem caiu de quatro para apenas um ponto em relação ao GPT-5.6 Sol, que aparece logo atrás com 59. O Kimi K3 estreou em terceiro lugar, com 57, à frente do Claude Opus 4.8. Em trabalho analítico de longo prazo, o K3 ficou empatado com o Fable 5 no topo. --- E talvez o número mais importante para quem paga a conta: inteligência quase de ponta ficou de duas a três vezes mais barata em uma semana. O Kimi K3 entrega desempenho comparável ao Claude Opus 4.8 pela metade do custo por tarefa. O GPT-5.6 Luna e o Muse Spark 1.1 operam a centavos por consulta. A mensagem é clara: o acesso ao topo está se democratizando rápido.

@KateClarkTweets

💰Databricks capta US$ 3 bi e é avaliada em US$ 188 bilhões

A Databricks, plataforma de dados e IA usada por grandes empresas para organizar e analisar informações em larga escala, está levantando uma rodada de US$ 3 bilhões liderada pela gestora Coatue. O valuation (quanto os investidores acham que a empresa vale) chega a US$ 188 bilhões. --- Para ter noção do tamanho: isso coloca a Databricks entre as startups privadas mais valiosas do planeta, no mesmo patamar de empresas como SpaceX. É mais um sinal de que o mercado de infraestrutura para IA, aquela camada que organiza dados e permite que modelos funcionem dentro de empresas, continua atraindo cheques enormes mesmo num ambiente de juros altos.

@claudeai

🔓Claude Fable 5 entra nos planos pagos a partir de 20 de julho

A Anthropic anunciou que, a partir do dia 20 de julho, o Claude Fable 5, seu modelo mais poderoso, será incluído nos planos Max e Team Premium com 50% dos limites de uso. Quem está nos planos Pro e Team Standard não fica de fora: poderá usar o Fable via créditos e ainda receberá US$ 100 em créditos de cortesia. --- A empresa admitiu que a demanda pelo Fable foi difícil de prever, o que explica a liberação gradual. Primeiro foi para poucos, depois foram ampliando conforme garantiam mais capacidade de servidor. Faz sentido: quando o modelo líder nos benchmarks vira acessível, todo mundo quer testar, e a infraestrutura precisa acompanhar.

Receba no seu email

Todo dia, grátis pra sempre.

Assinar newsletter