3 min de lectura

Actualiza WordPress ahora mientras se propagan los exploits wp2shell

Ya existen exploits públicos para dos fallos encadenados del núcleo de WordPress, con indicios tempranos de ataques activos. Actualiza a la versión 7.0.2 o 6.9.5 de inmediato.

Imagen: BleepingComputer

Ya hay exploits públicos para las vulnerabilidades críticas “wp2shell” en el núcleo de WordPress, lo que aumenta la urgencia para que los administradores parcheen los sitios afectados. Las cadenas de ataque CVE-2026-63030 y CVE-2026-60137 permiten lograr ejecución remota de código (RCE) preautenticada en instalaciones predeterminadas de WordPress 6.9.x y 7.0.x.

Las fallas fueron descubiertas por Adam Kues de Searchlight Cyber, que dijo que un atacante anónimo puede explotar una instalación estándar de WordPress sin plugins.

El equipo de investigación en seguridad de Searchlight Cyber ha descubierto una RCE preautenticada en el núcleo de WordPress. El ataque no tiene precondiciones y puede ser explotado por un usuario anónimo en una instalación estándar de WordPress sin plugins.

Searchlight Cyber

Con más de 500 millones de sitios web que usan WordPress, el impacto potencial es grande. En respuesta, el equipo de seguridad de WordPress ha habilitado las actualizaciones de seguridad automáticas forzadas para las instalaciones compatibles en las versiones afectadas y está instando a los propietarios de sitios a pasarse a WordPress 7.0.2 o 6.9.5 de inmediato.

Versiones afectadas y mitigaciones temporales

La cadena de fallos está compuesta por dos problemas separados:

  • CVE-2026-63030: una vulnerabilidad de confusión en la ruta batch de la REST API introducida en WordPress 6.9
  • CVE-2026-60137: un fallo de inyección SQL en el parámetro author__not_in de WP_Query

Según los avisos de WordPress, la cadena completa de RCE afecta a WordPress 6.9.0 hasta 6.9.4 y 7.0.0 hasta 7.0.1. El fallo de inyección SQL también afecta a WordPress 6.8.0 hasta 6.8.5, pero allí no puede encadenarse a RCE porque la vulnerabilidad de la REST API se añadió solo en la 6.9.

Recomendado

7-Zip 26.02 corrige un fallo de ejecución remota de código basado en archivos

Searchlight Cyber está reteniendo por ahora los detalles técnicos y en su lugar lanzó wp2shell.com, que permite a los administradores comprobar si sus instalaciones son vulnerables. Para organizaciones que no puedan parchear de inmediato, la empresa recomienda o bien bloquear el acceso anónimo a la REST API con un plugin o bloquear /wp-json/batch/v1 y ?rest_route=/batch/v1 a nivel del WAF. Indicó que esas medidas deben considerarse únicamente mitigaciones temporales.

Cloudflare dijo que ha desplegado protecciones WAF para ambas fallas en todos los planes, incluidas las cuentas gratuitas, para los sitios proxyados a través de su plataforma. La empresa dijo que las reglas bloquean los intentos de explotación tanto para CVE-2026-60137 como para CVE-2026-63030, pero subrayó que la cobertura del WAF no sustituye al parcheo.

Ya circulan pruebas de concepto públicas

Aunque Searchlight Cyber retrasó la publicación de los detalles técnicos, desde entonces han aparecido múltiples exploits públicos de prueba de concepto en GitHub. Algunos encadenan los fallos para extraer hashes de contraseñas de WordPress mediante inyección SQL, descifrar una contraseña de administrador y luego subir un plugin malicioso para ejecutar comandos. Otros afirman lograr RCE preautenticada sin credenciales de administrador, coincidiendo más estrechamente con la descripción de Searchlight Cyber.

watchTowr dijo a BleepingComputer que ya está viendo explotación temprana en el mundo real tras la publicación de las pruebas de concepto.

WordPress tiene mala fama en materia de seguridad. Pero la realidad es que una vulnerabilidad de inyección SQL sin autenticación o de ejecución remota de código en el núcleo de WordPress con un impacto tan alto es en realidad bastante rara. Eso es precisamente lo que hace que esta sea diferente, y por eso todo el mundo se apresura a parchear antes de que se generalice la explotación. El equipo de watchTowr ya está viendo exploits PoC en circulación y estamos empezando a ver los primeros signos de explotación en entornos reales.

Benjamin Harris, director ejecutivo, watchTowr

Dado que existen exploits públicos y los primeros signos de abuso activo, los administradores deben actualizar los sitios afectados a WordPress 7.0.2 o 6.9.5 lo antes posible.

imagen del artículo
imagen del artículo
Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía BleepingComputer

// Sigue leyendo