CLML-Status

Existem eventos ativos.

A acompanhar

Duas novas vulnerabilidades críticas foram identificadas no WordPress Core CVE-2026-63030 e CVE-2026-60137 que permitem a um atacante executar código remoto sem credênciais de autenticação e comprometendo a instância WordPress.

Tratam-se de duas vulnerabilidades críticas no Core do WordPress (e não em plugins) com proof-of-concept (PoC) de nome wp2shell já existente e em circulação:

https://wp2shell.com/

Para resolução o WordPress core deve ser atualizado para uma das versões corrigidas:

  • 6.8.6
  • 6.9.5
  • 7.0.2

Medidas de mitigação: Estamos a manter a frota sob atenta vigilância, e implementar medidas de bloqueio nas WAF. É no entanto necessária intervenção dos clientes para atualização das várias instâncias.

Medidas de correcção: Atualização do WordPress Core.


Informação em constante atualização conforme o progresso da equipa técnica da CLML.

Incident UUID ddc2c491-1ff4-4362-80bb-fd3f76c3438d