4 min de lectura

Los exploits RCE de wp2shell para WordPress ya son públicos

Exploits públicos apuntan a las fallas wp2shell de WordPress. Actualice los sitios a WordPress 7.0.2 o 6.9.5 de inmediato.

Imagen: BleepingComputer

Ya están disponibles exploits de prueba de concepto públicos para las críticas vulnerabilidades de ejecución remota de código “wp2shell” en el núcleo de WordPress. Los administradores deben actualizar de inmediato: las fallas pueden encadenarse para permitir RCE previa a la autenticación en instalaciones predeterminadas de WordPress que ejecutan las versiones 6.9.x y 7.0.x.

El investigador Adam Kues, de Searchlight Cyber, descubrió las vulnerabilidades. La compañía afirma que el ataque no requiere plugins, cambios de configuración ni autenticación, y puede ser llevado a cabo por un usuario anónimo contra una instalación estándar.

«El equipo de investigación de seguridad de Searchlight Cyber ha descubierto una RCE previa a la autenticación en el núcleo de WordPress. El ataque no tiene condiciones previas y puede ser explotado por un usuario anónimo en una instalación estándar de WordPress sin plugins.»

Searchlight Cyber

Searchlight Cyber estima que más de 500 millones de sitios web usan WordPress, lo que aumenta el impacto potencial ahora que circulan exploits públicos. WordPress ha habilitado actualizaciones automáticas de seguridad forzadas para las instalaciones compatibles que ejecutan versiones afectadas.

Recomendado

7-Zip 26.02 parchea una vulnerabilidad de ejecución de código en XZ

«Puesto que se trata de una actualización de seguridad, se recomienda que actualice sus sitios de inmediato. Debido a la gravedad, el equipo de WordPress.org ha habilitado actualizaciones forzadas a través del sistema de actualización automática para sitios que ejecutan versiones afectadas.»

WordPress

Las dos vulnerabilidades detrás de wp2shell

El ataque se construye a partir de dos fallos separados:

  • CVE-2026-63030: Una vulnerabilidad de confusión en la ruta por lotes (batch-route) de la REST API introducida en WordPress 6.9. El aviso en GitHub indica que puede combinarse con la falla de inyección SQL para lograr RCE.
  • CVE-2026-60137: Una vulnerabilidad de inyección SQL de alta gravedad en el parámetro author__not_in de WP_Query, que afecta a WordPress 6.8 y versiones posteriores.

La cadena completa de RCE afecta a WordPress 6.9.0 hasta 6.9.4 y 7.0.0 hasta 7.0.1. La falla de inyección SQL también afecta a 6.8.0 hasta 6.8.5, pero esas versiones no pueden encadenarse para RCE porque la vulnerabilidad de la REST API se introdujo en WordPress 6.9.

La cadena está corregida en WordPress 6.9.5 y 7.0.2. Searchlight Cyber está reteniendo los detalles técnicos para dar a los administradores tiempo para parchear, pero ha lanzado wp2shell.com, donde los propietarios de sitios pueden comprobar si sus instalaciones son vulnerables.

Mitigaciones temporales y explotación activa

Para las organizaciones que no puedan actualizar de inmediato, Searchlight Cyber recomienda instalar un plugin que bloquee el acceso anónimo a la REST API o bloquear estas rutas al nivel del firewall de aplicaciones web:

  • /wp-json/batch/v1
  • ?rest_route=/batch/v1

La compañía dice que estas medidas son temporales y no deben sustituir la aplicación de parches. Cloudflare también ha desplegado protecciones WAF para ambas vulnerabilidades en todos los planes, incluidas las cuentas gratuitas, para sitios que usen su plataforma como proxy.

«Las protecciones WAF reducen la exposición mientras los clientes actualizan, pero no son un sustituto de la aplicación de parches.»

Cloudflare

Varios exploits de prueba de concepto en GitHub combinan los fallos para extraer hashes de contraseñas de WordPress, descifrar la contraseña de un administrador, subir un plugin malicioso y ejecutar comandos. Otros PoC afirman RCE previa a la autenticación sin credenciales de administrador. BleepingComputer contactó a Searchlight Cyber para confirmar si su cadena de ataque requiere una contraseña.

La firma de seguridad watchTowr afirma que ya ha observado explotación en entornos reales tras la publicación de los exploits públicos.

«WordPress tiene mala fama en cuanto a seguridad. Pero la realidad es que una inyección SQL no autenticada o una vulnerabilidad de ejecución remota de código en el núcleo de WordPress con un alto impacto es, en realidad, bastante rara. Precisamente eso es lo que hace que esta sea diferente, y por qué todo el mundo se apresura a parchear antes de que la explotación generalizada se haga efectiva. El equipo de watchTowr ya está viendo PoC en circulación y estamos empezando a observar los primeros signos de explotación en el mundo real.»

Benjamin Harris, director ejecutivo de watchTowr

Los administradores deben actualizar los sitios afectados a WordPress 7.0.2 o 6.9.5 lo antes posible.

Imagen del artículo
Imagen del artículo
Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía BleepingComputer

/ Sigue leyendo