NOUTATI

Vulnerabilitate critica in nucleul WordPress: o simpla cerere anonima poate executa cod pe site-urile neactualizate

18 Iulie 2026  | 

Comunitatea de securitate si industria de web hosting urmaresc cu atentie o vulnerabilitate critica descoperita direct in nucleul WordPress, denumita de cercetatori wp2shell. Problema permite unui atacator neautentificat sa execute cod la distanta pe un site vulnerabil, fara nume de utilizator, fara parola si fara nicio interactiune din partea vreunui administrator. Sunt afectate versiunile WordPress de la 6.9.0 pana la 6.9.4 si de la 7.0.0 pana la 7.0.1, iar corectia a fost livrata in versiunile 6.9.5 si 7.0.2.

Vulnerabilitatea este urmarita prin doua identificatoare. CVE-2026-63030 vizeaza o confuzie de rutare la nivelul endpointului de tip batch al API-ului REST, disponibil la adresa /wp-json/batch/v1, care este inlantuita cu o injectie SQL urmarita drept CVE-2026-60137. Combinatia celor doua transforma o simpla cerere HTTP intr-o cale de executie de cod la distanta, cel mai grav tip de compromitere posibil pentru o aplicatie web. Ceea ce face problema deosebit de periculoasa este ca nu necesita niciun plugin si niciun fel de configuratie speciala: un site WordPress instalat implicit, fara extensii suplimentare, este expus. Lantul de atac a primit un scor CVSS de 9.8. Descoperirea apartine cercetatorului Adam Kues de la Assetnote, divizia de cercetare a companiei Searchlight Cyber, si a fost raportata responsabil prin programul HackerOne al WordPress.

Situatia s-a agravat rapid. Dupa publicarea initiala a alertei, au fost atribuite ambele numere CVE, mecanismul complet a fost facut public, iar un cod demonstrativ functional a devenit disponibil. Instrumentul public confirma injectia SQL si poate citi baza de date, inclusiv hash-urile parolelor de administrator. Cercetatorii nu au publicat inca ultimul pas, cel care transforma injectia SQL in executie completa de cod, insa existenta unui exploit public creste semnificativ riscul. Din cauza gravitatii, echipa WordPress a fortat actualizarile automate chiar si pe site-urile care aveau aceasta optiune dezactivata, o masura folosita doar in situatii extreme. O observatie tehnica relevanta este ca unele analize indica faptul ca traseul vulnerabil poate fi atins atunci cand site-ul nu foloseste un cache de obiecte persistent.

Recomandarea specialistilor este clara si urgenta: administratorii trebuie sa verifice imediat versiunea WordPress instalata si sa actualizeze la 6.9.5 sau 7.0.2, in functie de ramura folosita. Este importanta si verificarea semnelor de compromitere aparute inainte de aplicarea patch-ului, deoarece o actualizare inchide calea de atac, dar nu elimina automat un eventual backdoor plantat anterior. Se recomanda inspectarea utilizatorilor administrativi, a fisierelor modificate recent, a temelor si a pluginurilor, precum si a redirectarilor sau scripturilor suspecte aparute pe site.

Noi, echipa Gazduire.Net, am luat la cunostinta de aceasta vulnerabilitate si urmarim atent evolutia ei. La nivel de infrastructura facem tot ce tine de noi, folosind solutii de protectie precum Imunify si serverul LiteSpeed, pentru a reduce riscul general. Trebuie insa sa subliniem ca WordPress-ul este un sistem gestionat de proprietarul fiecarui site, la fel ca in cazul pluginurilor, iar actualizarea efectiva a nucleului la o versiune sigura ramane responsabilitatea directa a administratorului sau a designerului fiecarui site. Gazduim zeci de mii de site-uri WordPress si nu putem actualiza in locul clientilor continutul si sistemul lor de administrare, motiv pentru care ii indemnam pe toti proprietarii de site-uri sa aplice fara intarziere aceasta actualizare.

Incidentul wp2shell reaminteste ca securitatea unui site nu se opreste la alegerea unui furnizor de gazduire, ci depinde in mod esential de mentinerea la zi a aplicatiei si a componentelor sale. Intr-un ecosistem folosit de sute de milioane de site-uri, o singura versiune neactualizata poate deveni o poarta de intrare, iar reactia prompta face diferenta intre un site protejat si unul compromis.

18 Iulie 2026
Preturile afisate pe acest site NU INCLUD TVA! TVA 21% se adauga la facturare Curs valutar: 1 EUR = 5.24290 Lei conform BNR