Vulnerabilidade permite execução remota de código em sites WordPress

Uma nova vulnerabilidade descoberta no WordPress permite que um pedido HTTP anônimo execute código em sites, afetando versões 6.9.0 a 6.9.4 e 7.0.0 a 7.0.1. O problema foi identificado por Adam Kues, da Assetnote, e reportado através do programa HackerOne do WordPress. A falha, classificada como uma confusão na rota de lote da API REST e uma injeção SQL, pode ser explorada sem pré-condições, tornando-a crítica para sites que não possuem plugins instalados. O WordPress lançou atualizações de segurança (6.9.5 e 7.0.2) em 17 de julho de 2026, para corrigir a vulnerabilidade. Embora a empresa tenha implementado atualizações forçadas, não está claro se isso se aplica a sites que desativaram as atualizações automáticas. Enquanto isso, a Assetnote disponibilizou uma ferramenta para que os administradores verifiquem se suas instâncias estão vulneráveis. A exploração em massa de vulnerabilidades do WordPress é uma preocupação crescente, com mais de 500 milhões de sites utilizando essa plataforma. A falta de um CVE (Identificador de Vulnerabilidade Comum) para essa falha pode dificultar a detecção e resposta a ataques.

Fonte: https://thehackernews.com/2026/07/new-wp2shell-wordpress-core-flaw-lets.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
17/07/2026 • Risco: ALTO
VULNERABILIDADE

Vulnerabilidade permite execução remota de código em sites WordPress

RESUMO EXECUTIVO
A vulnerabilidade no WordPress permite que atacantes executem código remotamente em sites, afetando versões recentes da plataforma. Com mais de 500 milhões de sites WordPress, a exploração dessa falha pode resultar em sérios danos financeiros e de reputação, além de implicações legais relacionadas à LGPD.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a compromissos de segurança e danos à reputação.
Operacional
Possibilidade de execução de código malicioso em sites vulneráveis.
Setores vulneráveis
['Setores que utilizam WordPress, como e-commerce e blogs']

📊 INDICADORES CHAVE

Mais de 500 milhões de sites utilizam WordPress. Indicador
A vulnerabilidade afeta versões lançadas nos últimos oito meses. Contexto BR
Atualizações de segurança foram lançadas em 17 de julho de 2026. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a versão do WordPress em uso e se está atualizada.
2 Implementar regras de firewall para bloquear acessos anônimos à API REST até que a atualização seja aplicada.
3 Monitorar logs de acesso para identificar tentativas de exploração da vulnerabilidade.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de suas plataformas WordPress, dado o potencial de exploração em massa.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD em caso de vazamento de dados.
Status
patch_disponivel
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).