Existem eventos ativos.
Duas novas vulnerabilidades críticas foram identificadas no WordPress Core CVE-2026-63030 e CVE-2026-60137 que permitem a um atacante executar código remoto sem credênciais de autenticação e comprometendo a instância WordPress.
Tratam-se de duas vulnerabilidades críticas no Core do WordPress (e não em plugins) com proof-of-concept (PoC) de nome wp2shell já existente e em circulação:
Para resolução o WordPress core deve ser atualizado para uma das versões corrigidas:
Medidas de mitigação: Estamos a manter a frota sob atenta vigilância, e implementar medidas de bloqueio nas WAF. É no entanto necessária intervenção dos clientes para atualização das várias instâncias.
Medidas de correcção: Atualização do WordPress Core.
Informação em constante atualização conforme o progresso da equipa técnica da CLML.
Incident UUID ddc2c491-1ff4-4362-80bb-fd3f76c3438d