Uma nova vulnerabilidade descoberta no WordPress permite que um pedido HTTP anônimo execute código em sites, afetando versões 6.9.0 a 6.9.4 e 7.0.0 a 7.0.1. O problema foi identificado por Adam Kues, da Assetnote, e reportado através do programa HackerOne do WordPress. A falha, classificada como uma confusão na rota de lote da API REST e uma injeção SQL, pode ser explorada sem pré-condições, tornando-a crítica para sites que não possuem plugins instalados. O WordPress lançou atualizações de segurança (6.9.5 e 7.0.2) em 17 de julho de 2026, para corrigir a vulnerabilidade. Embora a empresa tenha implementado atualizações forçadas, não está claro se isso se aplica a sites que desativaram as atualizações automáticas. Enquanto isso, a Assetnote disponibilizou uma ferramenta para que os administradores verifiquem se suas instâncias estão vulneráveis. A exploração em massa de vulnerabilidades do WordPress é uma preocupação crescente, com mais de 500 milhões de sites utilizando essa plataforma. A falta de um CVE (Identificador de Vulnerabilidade Comum) para essa falha pode dificultar a detecção e resposta a ataques.
Fonte: https://thehackernews.com/2026/07/new-wp2shell-wordpress-core-flaw-lets.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
17/07/2026 • Risco: ALTO
VULNERABILIDADE
Vulnerabilidade permite execução remota de código em sites WordPress
RESUMO EXECUTIVO
A vulnerabilidade no WordPress permite que atacantes executem código remotamente em sites, afetando versões recentes da plataforma. Com mais de 500 milhões de sites WordPress, a exploração dessa falha pode resultar em sérios danos financeiros e de reputação, além de implicações legais relacionadas à LGPD.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a compromissos de segurança e danos à reputação.
Operacional
Possibilidade de execução de código malicioso em sites vulneráveis.
Setores vulneráveis
['Setores que utilizam WordPress, como e-commerce e blogs']
📊 INDICADORES CHAVE
Mais de 500 milhões de sites utilizam WordPress.
Indicador
A vulnerabilidade afeta versões lançadas nos últimos oito meses.
Contexto BR
Atualizações de segurança foram lançadas em 17 de julho de 2026.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a versão do WordPress em uso e se está atualizada.
2
Implementar regras de firewall para bloquear acessos anônimos à API REST até que a atualização seja aplicada.
3
Monitorar logs de acesso para identificar tentativas de exploração da vulnerabilidade.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas plataformas WordPress, dado o potencial de exploração em massa.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).