Naquilo que especialistas em segurança estão chamando de "energia máxima de 2026", o WordPress mais uma vez lembrou a todos que até mesmo uma instalação padrão impecável pode se tornar um banquete de execução ilimitada para hackers com nada mais do que uma única requisição HTTP anônima. Senhoras e senhores, apresento-lhes o wp2shell (CVE-2026-63030) — a nova e brilhante vulnerabilidade de execução remota de código pré-autenticação no WordPress 6.9 e 7.0. Sem necessidade de login. Sem plugins. Sem configuração especial. Basta direcionar seu pacote malicioso para um site vulnerável e observar a mágica acontecer. É quase elegante em sua preguiça. A falha, descoberta por pesquisadores da Assetnote e relatada de forma responsável, abusa inteligentemente do processamento em lote de requisições da API REST com uma pitada de injeção de SQL. Pense nisso como o equivalente em software a deixar a porta da frente escancarada enquanto posta nas redes sociais sobre o quão segura é sua nova fechadura inteligente. O WordPress lançou correções nas versões 7.0.2 e 6.9.5 em 17 de julho, incluindo atualizações automáticas forçadas, porque aparentemente muitos proprietários de sites tratam a aplicação de patches como se fosse um acessório opcional.
Se você estiver usando uma versão entre 6.9.0 e 6.9.4 ou entre 7.0.0 e 7.0.1, parabéns — seu site estava potencialmente vulnerável a qualquer pessoa com conhecimentos básicos de programação e um pouco de raiva (ou simplesmente tédio). O endpoint de processamento em lote da API REST está presente no núcleo do WordPress desde a versão 5.6, aguardando silenciosamente sua história de origem vilanesca. O WordPress.org merece aplausos pela resposta rápida e pelas atualizações forçadas. Mas sejamos realistas: em um mundo onde milhões de sites ainda rodam versões antigas como fósseis digitais, "atualize agora" soa menos como um conselho e mais como um pedido de socorro.
O que você deve fazer? (Spoiler: Não ignore isso)
Atualize imediatamente para a versão 7.0.2 ou 6.9.5. Sim, agora mesmo. Seu tema personalizado permanecerá ativo.
Verifique sua versão e teste no verificador dos pesquisadores (porque confiar em atualizações automáticas aparentemente é como chegamos a essa situação).
Analise os registros em busca de solicitações em lote suspeitas — o equivalente digital a verificar se há pegadas de lama na sua sala de estar.
Se a atualização for impossível por algum motivo (já ouvimos todas as desculpas), bloqueie o endpoint de processamento em lote ou use soluções temporárias. Mas lembre-se: curativos não resolvem problemas graves.
Para os verdadeiramente paranoicos (ou responsáveis), este é mais um lembrete de que "instalação padrão sem nenhum plugin" não é a demonstração de poder que algumas pessoas pensam que seja.






