El 17 de julio de 2026 WordPress lanzó las versiones 6.9.5 y 7.0.2 para corregir una vulnerabilidad crítica que permite ejecución remota de código sin necesidad de autenticación. Esta falla, descubierta por Adam Kues de Assetnote afecta a todas las instalaciones de WordPress desde la versión 6.9.0 hasta la 7.0.1.
La vulnerabilidad, conocida como wp2shell puede ser explotada por un usuario anónimo sin necesidad de plugins adicionales. Según Searchlight Cyber más de 500 millones de sitios web utilizan WordPress, aunque no todos están afectados por esta falla específica.
Detalles técnicos de la vulnerabilidad
La falla se debe a una combinación de dos problemas: una confusión en la ruta de la API REST y una inyección SQL. La primera permite la ejecución remota de código, mientras que la segunda facilita el acceso no autorizado a la base de datos. Ambas vulnerabilidades fueron corregidas en las versiones mencionadas.
WordPress ha descrito la falla como «un problema de confusión en la ruta batch de la API REST y una inyección SQL que conduce a ejecución remota de código«. Aunque no se han reportado intentos de explotación hasta el 18 de julio la comunidad de seguridad recomienda actualizar de inmediato.
Medidas de mitigación
Si no es posible actualizar inmediatamente, Searchlight Cyber recomienda bloquear el acceso anónimo a la API batch. Esto puede hacerse mediante un firewall de aplicaciones web (WAF) o mediante un plugin que desactive el acceso no autenticado a la API REST.
Otras opciones incluyen deshabilitar completamente la API REST o utilizar un plugin que rechace las solicitudes anónimas a la ruta /batch/v1. Sin embargo, estas son medidas temporales y no sustituyen la actualización a la versión corregida.
La vulnerabilidad afecta a todas las instalaciones de WordPress desde la versión 6.9.0 hasta la 7.0.1. La versión 6.8.6 corrige una segunda vulnerabilidad de inyección SQL, aunque no está relacionada con la ejecución remota de código.
La CISA y otras organizaciones de seguridad recomiendan actualizar a las versiones corregidas lo antes posible. Además, se sugiere verificar la versión actual de WordPress en el panel de administración para asegurarse de que la actualización se ha aplicado correctamente.
Para verificar si tu sitio es vulnerable, Searchlight Cyber ha puesto a disposición una herramienta en . Esta herramienta permite a los administradores de sitios web comprobar si su instalación está afectada por la vulnerabilidad.



