In sintesiUna grave vulnerabilità RCE pre-auth, battezzata "wp2shell", è stata scoperta nel core di WordPress. La falla mette a rischio oltre 500 milioni di siti web, permettendo il completo takeover da parte di attaccanti non autenticati. Le versioni colpite sono tracciate sotto i CVE-2026-60137 e CVE-2026-63030. WordPress.org ha rilasciato patch d'emergenza nelle versioni 7.0.2, 6.9.5 e 6.8.6, forzando l'aggiornamento automatico su tutti i siti affetti.
Una grave vulnerabilità di Remote Code Execution (RCE) pre-auth chiamata “wp2shell”, è stata scoperta nel core di WordPress, mettendo a rischio di completo takeover oltre 500 milioni di siti web da parte di attaccanti non autenticati. Il ricercatore Adam Kues del team Assetnote di Searchlight Cyber ha individuato il bug, causato da un problema di confusione nelle rotte batch dell’API REST che porta a iniezioni SQL e, infine, a esecuzione remota del codice.
La criticità della falla risiede nel fatto che non richiede condizioni preliminari e può essere sfruttata da utenti completamente anonimi e non autenticati contro un’installazione standard di WordPress senza plugin. In pratica, un attaccante non ha bisogno di credenziali di accesso, plugin vulnerabili o configurazioni particolari per compromettere il target: basta un’istanza raggiungibile di WordPress con una versione affetta.
Data la gravità del bug, Searchlight Cyber ha tenuto nascosti i dettagli tecnici dello sfruttamento per dare tempo agli amministratori di applicare le patch, mettendo a disposizione uno scanner pubblico gratuito su wp2shell.com per verificare la vulnerabilità dei siti.
La falla interessa una specifica gamma di release del core di WordPress, tracciate sotto due identificatori CVE: CVE-2026-60137 (che copre anche un separato problema di iniezione SQL) e CVE-2026-63030, la catena RCE della batch-route segnalata da Kues.
Il ramo WordPress 6.8 è colpito solo dal componente di iniezione SQL (CVE-2026-60137), non dalla catena RCE, e una correzione è stata backportata alla versione 6.8.6.
WordPress.org ha rilasciato la versione 7.0.2 insieme a fix backportati nelle versioni 6.9.5 e 6.8.6, risolvendo sia il problema critico RCE che una vulnerabilità ad alta gravità di iniezione SQL. In un’azione insolita vista la sua gravità, il team ha forzato l’aggiornamento automatico su tutti i siti con versioni affette invece di attendere interventi manuali.
Gli amministratori possono aggiornare manualmente tramite il Dashboard di WordPress o scaricare direttamente il rilascio da WordPress.org. Il team di sicurezza ha riconosciuto il contributo dei ricercatori TF1T, dtro e haongo per la segnalazione dell’iniettione SQL, insieme a Adam Kues per l’identificazione della catena RCE dell’API REST.
Per chi non può aggiornare immediatamente, Searchlight Cyber consiglia misure temporanee di emergenza, sebbene possano compromettere funzionalità legittime del sito: installare un plugin che blocca l’accesso anonimo all’API REST o bloccare gli endpoint /wp-json/batch/v1 e ?rest_route=/batch/v1 a livello di WAF.
Entrambe le soluzioni vanno considerate solo provvisorie fino all’applicazione della patch ufficiale.
Data la vastità dell’install base di WordPress e la natura zero-click, senza necessità di plugin, dello sfruttamento, gli esperti di sicurezza raccomandano l’aggiornamento immediato piuttosto che fare affidamento su workaround.
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response