Sicurezza Siti Web

WordPress: grave falla RCE pre-auth nelle REST API (wp2shell). Abbiamo già aggiornato tutti i siti

Nei giorni scorsi è stata resa pubblica una delle vulnerabilità più gravi mai scoperte nel core di WordPress: soprannominata “wp2shell” (identificativo CVE-2026-63030), permette a un attaccante di prendere il pieno controllo di un sito senza bisogno di alcuna password, sfruttando le REST API di WordPress. In questo articolo spieghiamo di cosa si tratta e, soprattutto, cosa abbiamo già fatto per proteggere i siti dei nostri clienti.

Cos’è la vulnerabilità “wp2shell”

Si tratta di una vulnerabilità di tipo RCE (Remote Code Execution) pre-autenticazione: in parole semplici, un aggressore può eseguire codice arbitrario sul server senza dover effettuare il login e senza che sia necessario alcun plugin particolare. È sufficiente una singola richiesta HTTP anonima verso l’endpoint batch delle REST API (/wp-json/batch/v1).

Il problema nasce dalla combinazione di due difetti nel cuore di WordPress: una confusione nella gestione delle rotte dell’API batch e una SQL injection nel motore di query (CVE-2026-60137). Concatenati, consentono la compromissione completa del sito e dei dati che contiene. Una configurazione WordPress standard, appena installata, è già vulnerabile.

Quali versioni sono colpite

  • Vulnerabili: WordPress dalla 6.9.0 alla 6.9.4 e dalla 7.0.0 alla 7.0.1
  • Sicure (versioni corrette): WordPress 7.0.2, con backport alle versioni 6.9.5 e 6.8.6

Data la gravità, il team di WordPress ha avviato un aggiornamento forzato per le installazioni con gli update automatici attivi. Gli esperti di sicurezza prevedono che a breve verrà pubblicato un exploit funzionante: agire tempestivamente è fondamentale.

Cosa abbiamo fatto noi di LimeNetwork

Non abbiamo aspettato. Appena confermata la vulnerabilità, il nostro team ha eseguito un aggiornamento forzato di TUTTI i siti WordPress ospitati sulla nostra infrastruttura di hosting, portandoli alla versione corretta e sicura e ripristinando i file del core con una copia integra.

  • ✅ Aggiornamento forzato del core WordPress alla versione 7.0.2 su ogni singolo sito
  • ✅ Aggiornamento di plugin e temi alle ultime versioni disponibili
  • ✅ Intervento eseguito in modo proattivo e centralizzato, senza richiedere alcuna azione ai clienti
  • ✅ Protezione perimetrale a livello di WAF sugli endpoint delle REST API

In pratica: se il tuo sito è ospitato con noi, sei già al sicuro. Non devi fare nulla.

Hai un sito WordPress ospitato altrove?

Se gestisci un sito WordPress su un’altra infrastruttura, ti consigliamo di verificare subito che sia aggiornato a una versione sicura (7.0.2, 6.9.5 o 6.8.6). Se non puoi aggiornare immediatamente, blocca a livello di firewall o web server l’accesso non autenticato all’endpoint /wp-json/batch/v1 (e alla variante /?rest_route=/batch/v1).

La sicurezza dei siti che ospitiamo è la nostra priorità: monitoriamo costantemente le nuove vulnerabilità e interveniamo prima che possano diventare un problema per i nostri clienti. Per qualsiasi dubbio, il nostro supporto è a tua disposizione.

Mostra altro

Articoli simili

Pulsante per tornare all'inizio