
Una vulnerabilidad crítica de ejecución remota de código (RCE), denominada wp2shell, afecta a WordPress Core y permite a atacantes anónimos comprometer sitios sin autenticación, plugins ni configuraciones especiales. El fallo proviene de una confusión en las rutas batch del API REST, que origina una inyección SQL y, finalmente, ejecución de código arbitrario. Según Adam Kues, cualquier installation vulnerable es explotable. Los administradores pueden detectarla mediante escaneo del endpoint /wp-json/batch/v1, lo que evidencia un riesgo crítico para la confidencialidad, integridad y disponibilidad.
CVE y severidad
Las vulnerabilidades CVE-2026-60137 y CVE-2026-63030 se califican como críticas, reflejando su gravedad máxima.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| Automattic (WordPress) | WordPress Core | Core (REST API batch route) | 6.9.0 – 6.9.4, 7.0.0 – 7.0.1, 7.1 beta (pre‑release) | PHP (cualquier sistema operativo) |
Solución
Actualizar a versión 7.0.2.
Recomendaciones
Priorizar la actualización a la versión 7.0.2 y validar el funcionamiento del sitio en un entorno de pruebas antes de aplicar el parche en producción.
Workarounds
Como solución temporal, instalar un plugin que bloquee el acceso anónimo a la API REST o bloquear los endpoints /wp-json/batch/v1 y ?rest_route=/batch/v1 mediante un WAF, aunque estas medidas deben usarse solo hasta la actualización.
