🌟 Atualização imperdível para quem gosta de estar bem informado!

Leia, comente e fique sempre atualizado!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Explorações públicas foram lançadas para as vulnerabilidades críticas de execução remota de código “wp2shell” que afetam o WordPress Core, tornando imperativo que os administradores corrijam seus sites imediatamente.

O ataque wp2shell consiste em duas falhas, rastreadas como CVE-2026-63030 e CVE-2026-60137, que podem ser encadeadas para obter execução remota de código de pré-autenticação em instalações do WordPress executando as versões 6.9.xe 7.0.x.

As falhas foram descobertas por Adam Kues do Searchlight Cyber, que afirma que um invasor não autenticado pode explorá-las em uma instalação padrão do WordPress.



“A equipe de pesquisa de segurança do Searchlight Cyber ​​descobriu um RCE de pré-autenticação no WordPress Core”, explicou Searchlight Cyber.

“O ataque não tem pré-condições e pode ser explorado por um usuário anônimo em uma instalação padrão do WordPress sem plugins.”

A Searchlight Cyber ​​estima que mais de 500 milhões de sites usam WordPress, dando à vulnerabilidade um impacto potencialmente massivo, especialmente agora que explorações públicas de prova de conceito foram lançadas.

Devido à gravidade das vulnerabilidades, a equipe de segurança do WordPress habilitou atualizações automáticas de segurança forçadas para instalações suportadas que executam versões afetadas, pedindo aos proprietários de sites que atualizem para o WordPress 7.0.2 ou 6.9.5 imediatamente.

"Como esta é uma versão de segurança, é recomendável que você atualize seus sites imediatamente", disse o WordPress em seu anúncio de segurança.

“Devido à gravidade, a equipe do WordPress.org habilitou atualizações forçadas por meio do sistema de atualização automática para sites que executam versões afetadas”.

O problema não é uma vulnerabilidade única, mas sim duas falhas independentes que podem ser combinadas em uma cadeia de execução remota de código não autenticada.

A primeira falha, CVE-2026-63030, é uma vulnerabilidade de confusão de rotas em lote da API REST introduzida no WordPress 6.9. De acordo com a assessoria do GitHub, a falha pode ser combinada com o problema de injeção de SQL para obter execução remota de código.

A segunda vulnerabilidade, CVE-2026-60137, é uma falha de injeção de SQL no parâmetro 'author__not_in' de 'WP_Query'. O WordPress descreve isso como uma vulnerabilidade de injeção SQL de alta gravidade que afeta o WordPress 6.8 e posterior.

De acordo com os avisos do WordPress, a cadeia RCE completa afeta o WordPress 6.9.0 a 6.9.4 e o WordPress 7.0.0 a 7.0.1.

A vulnerabilidade de injeção de SQL também afeta o WordPress 6.8.0 a 6.8.5, mas não pode ser encadeada à execução remota de código porque o bug de confusão de rota em lote da API REST foi adicionado no WordPress 6.9.

A cadeia completa de ataques wp2shell foi corrigida no WordPress 6.9.5 e 7.0.2.

No momento, a Searchlight Cyber ​​está retendo detalhes técnicos para dar aos administradores tempo para corrigir o problema. Em vez disso, criou o site wp2shell.com, que permite aos administradores testar se suas instalações do WordPress são vulneráveis.

Para organizações que não conseguem atualizar imediatamente, o Searchlight Cyber recomenda:

Instalar um plugin que bloqueia totalmente o acesso anônimo à API REST; ou

Bloqueio /wp-json/batch/v1 e ?rest_route=/batch/v1 no nível do WAF.

A empresa alerta que essas mitigações devem ser usadas apenas como medida temporária até que os sistemas possam ser atualizados.

A Cloudflare também anunciou que implantou proteções de Web Application Firewall (WAF) para ambas as vulnerabilidades em todos os planos, incluindo contas gratuitas, que são proxy por trás de sua plataforma.

De acordo com a Cloudflare, as regras bloqueiam tentativas de explorar a falha de injeção de SQL (CVE-2026-60137) e a vulnerabilidade de confusão de rota em lote da API REST (CVE-2026-63030).

“As proteções WAF reduzem a exposição enquanto os clientes atualizam, mas não substituem os patches”, disse Cloudflare.

Explorações públicas de PoC lançadas

Embora o Searchlight Cyber tenha atrasado a divulgação de detalhes técnicos para dar aos administradores tempo para corrigir, desde então, várias explorações públicas de prova de conceito foram publicadas no GitHub.

Algumas explorações disponíveis publicamente combinam as duas vulnerabilidades para extrair hashes de senha do WordPress por meio de injeção de SQL e, em seguida, quebrar uma senha de administrador para fazer login, carregar um plugin malicioso e executar comandos.

No entanto, outras explorações de prova de conceito afirmam conseguir a execução remota de código de pré-autenticação sem exigir credenciais de administrador, o que está mais de acordo com a descrição das falhas do Searchlight Cyber.

BleepingComputer entrou em contato com Searchlight Cyber ​​para confirmar que sua cadeia de ataque não requer senha de administrador.

A empresa de segurança watchTowr afirma que já viu exploração em estado selvagem depois que as explorações públicas foram divulgadas.

"O WordPress tem uma má reputação em termos de segurança. Mas a realidade é que uma injeção de SQL não autenticada e altamente impactante ou uma vulnerabilidade de execução remota de código no núcleo do WordPress são bastante raras", disse o CEO da watchTowr, Benjamin Harris, ao BleepingComputer por e-mail.

"Isso é exatamente
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #falhas #rce #“wp2shell” #do #wordpress #core #recebem #explorações #públicas, #corrija #agora
🔔 Siga-nos para não perder nenhuma atualização!

Post a Comment