WordPress: aggiornamento urgente contro wp2shell

18/07/2026 Il team di WordPress ha pubblicato un aggiornamento di sicurezza urgente per correggere wp2shell, una grave vulnerabilità individuata nel core del CMS che potrebbe consentire a un aggressore di eseguire codice da remoto senza autenticazione.

Il problema non dipende da plugin o temi installati: può interessare anche un’installazione standard di WordPress. Per sfruttarlo, un aggressore può concatenare due diverse vulnerabilità:

CVE-2026-63030, relativa alla gestione delle richieste batch attraverso la REST API;

CVE-2026-60137, una vulnerabilità di tipo SQL injection presente nel sistema di interrogazione del database.

La combinazione delle due falle può consentire l’esecuzione di codice sul server senza che l’aggressore disponga di un account o di credenziali di accesso. Proprio per la gravità del problema, WordPress ha attivato l’installazione automatica forzata degli aggiornamenti sui siti vulnerabili che supportano gli aggiornamenti in background.

La vulnerabilità completa wp2shell interessa WordPress dalla versione 6.9.0 alla 6.9.4 e dalla versione 7.0.0 alla 7.0.1.

Le versioni correttive disponibili sono:

WordPress 6.9.5 per i siti appartenenti al ramo 6.9;

WordPress 7.0.2 per quelli che utilizzano il ramo 7.0;

WordPress 7.1 Beta 2 per chi sta effettuando test sulla prossima versione.

Anche WordPress dalla versione 6.8.0 alla 6.8.5 contiene la vulnerabilità SQL injection, ma non risulta esposto alla catena completa che permette l’esecuzione di codice da remoto. Per questo ramo è stata pubblicata la versione WordPress 6.8.6.

Gli amministratori dei siti non dovrebbero comunque dare per scontato che l’aggiornamento automatico sia già stato applicato. È consigliabile controllare la versione installata accedendo alla sezione Bacheca → Aggiornamenti e procedere immediatamente all’installazione della versione corretta, verificando successivamente anche il regolare funzionamento del sito.

Le versioni di WordPress precedenti alla 6.8 non risultano interessate dalle vulnerabilità corrette con questa serie di aggiornamenti. Utilizzare una versione precedente e non più aggiornata, tuttavia, non rappresenta una soluzione sicura: è sempre opportuno mantenere WordPress, temi e plugin all’ultima versione stabile disponibile.
ULTIME NEWS

ICANN riapre le candidature per i nuovi domini personalizzati
Dopo oltre dieci anni dall’ultimo programma di espansione dei domini Internet, ICANN ha ufficialmente avviato il nuovo round dedicato ai gTLD, ovvero le estensioni dominio...

Avviso di sicurezza cPanel CVE-2026-41940
cPanel ha recentemente comunicato la presenza di una vulnerabilità critica (CVE-2026-41940) che potrebbe consentire un bypass dell’autenticazione su alcune versioni del pannello di controllo. A seguito...

WordPress 6.8, performance migliorate ma l'hosting resta centrale
Con WordPress 6.8, rilasciato il 15 aprile 2025, il progetto ha introdotto ulteriori ottimizzazioni orientate alle performance, con interventi che interessano in particolare la gestione...

ICANN rafforza le iniziative contro il DNS Abuse nel sistema dei domini
La sicurezza del sistema dei nomi di dominio continua ad essere uno dei temi centrali per l’ecosistema Internet. Nei primi mesi del 2026 l’

Vendita record per ai.com, operazione da 70 milioni di dollari
Il mercato dei domini premium torna sotto i riflettori con la cessione di ai.com, venduto secondo diverse fonti internazionali per una cifra stimata intorno ai...

Tutte le news