Vulnerabilidad crítica en WordPress permite ejecución remota de código
Publicado el
Nueva vulnerabilidad wp2shell en WordPress
La reciente vulnerabilidad wp2shell en el núcleo de WordPress ha suscitado preocupaciones significativas, ya que permite a atacantes no autenticados ejecutar código en sitios afectados. Este problema se encuentra en el núcleo del sistema, lo que significa que incluso instalaciones básicas, sin plugins adicionales, pueden ser explotadas.
Detalles de la vulnerabilidad
Detectada por Adam Kues de Assetnote, esta falla fue reportada a través del programa HackerOne de WordPress. El informe indica que el ataque no presenta precondiciones y puede ser llevado a cabo por cualquier usuario anónimo. Este tipo de vulnerabilidad puede tener un impacto devastador, ya que permite el acceso no autorizado a los sistemas.
WordPress lanzó actualizaciones el 17 de julio de 2026, específicamente las versiones 6.9.5 y 7.0.2, que corrigen esta vulnerabilidad de ejecución remota de código (RCE) que un atacante anónimo puede activar en una instalación predeterminada. Las versiones afectadas incluyen: - 6.9.0 a 6.9.4, corregidas en 6.9.5 - 7.0.0 a 7.0.1, corregidas en 7.0.2
Recomendaciones de actualización
Es crucial que los administradores de sitios verifiquen que están ejecutando las versiones más recientes, ya que WordPress no ha aclarado si la actualización forzada llega a las instalaciones que desactivaron las actualizaciones automáticas. La versión 7.1 beta2 también incluye la misma corrección. Para aquellos que aún utilizan la versión 6.8, hay una actualización disponible, pero esta se refiere a un segundo problema de inyección SQL, diferente al de wp2shell.
Se estima que más de 500 millones de sitios utilizan WordPress, lo que resalta la magnitud del riesgo asociado con esta vulnerabilidad. Sin embargo, se debe tener en cuenta que el código defectuoso solo existe en versiones desde 6.9 en adelante, lanzada el 2 de diciembre de 2025.
Clasificación de la vulnerabilidad
La publicación de WordPress sobre esta vulnerabilidad describe el hallazgo de Kues como un problema de confusión en la ruta de lote de la API REST y una inyección SQL que conduce a la ejecución remota de código. La versión de lanzamiento abarca tanto una falla crítica como otra de alta gravedad, aunque no se ha especificado cuál es cuál. Los archivos modificados en la versión 7.0.2 incluyen: - /wp-includes/rest-api/class-wp-rest-server.php - /wp-includes/class-wp-query.php - /wp-includes/rest-api.php
Medidas de mitigación
A la espera de la actualización, Searchlight ha sugerido varias medidas para mitigar el riesgo, que incluyen: - Bloquear las rutas /wp-json/batch/v1 y rest_route=/batch/v1 mediante un WAF (Web Application Firewall). - Desactivar WP REST API, lo que eliminaría el acceso REST no autenticado. - Implementar un plugin que publique y rechace solicitudes anónimas en /batch/v1.
Hasta la fecha, no se ha reportado ningún intento de explotación. Sin embargo, la falta de una CVE asignada y la ausencia de una firma pública hacen que la detección de este problema sea complicada. La CISA necesita una CVE antes de añadir cualquier información al catálogo KEV.
Conclusiones
La naturaleza de código abierto de WordPress significa que cualquier persona puede acceder a las versiones anteriores y compararlas con las nuevas. Este es un dilema inherente a todos los proyectos de código abierto: la rapidez con la que se implemente un parche es crucial para evitar que los atacantes aprovechen la vulnerabilidad antes de que se aplique la solución.
Es esencial que los administradores de WordPress actúen con rapidez y verifiquen sus versiones para proteger sus sitios de posibles ataques.