O WordPress publicou em 17 de julho de 2026 a versão 7.0.2 para corrigir uma vulnerabilidade crítica e outra de alta gravidade. Devido à severidade, o projeto habilitou atualizações forçadas pelo sistema automático nas versões afetadas e recomendou a instalação imediata da correção.
A CVE-2026-63030 envolve confusão de rotas em requisições em lote da API REST e injeção de SQL, combinação que pode levar à execução remota de código. A CVE-2026-60137 trata de outra condição que facilita injeção de SQL. O aviso oficial não relata exploração ativa, mas a possibilidade de execução remota e a decisão de forçar atualizações justificam prioridade elevada para administradores.
O WordPress 6.9 também é afetado pelas duas falhas e recebeu a versão 6.9.5. A linha 6.8 é afetada apenas pela primeira vulnerabilidade e recebeu a versão 6.8.6. A versão de testes 7.1 beta recebeu correções na beta 2, enquanto versões anteriores à 6.8 não são afetadas. Equipes devem confirmar a atualização, revisar cópias sem atualização automática e manter cópia de segurança antes de mudanças manuais.
Fonte e transparência
Fonte original: WordPress.org
Data de publicação original: 17/07/2026
O IPSecure Hub resume e contextualiza em português do Brasil. Detalhes ofensivos, PoCs e instruções de exploração não são reproduzidos.

