Múltiplas vulnerabilidades críticas em plugins WordPress (CVE-2026-1743, CVE-2026-1891, CVE-2026-2034) expõem mais de 8 milhões de sites a execução remota de código. Empresas reguladas pela NIS2 enfrentam notificação obrigatória em 24 horas — aqui está seu plano de ação.
Uma vulnerabilidade crítica de execução remota de código não autenticada no WP Advanced Forms (versões < 3.4.2) permite a execução de código PHP arbitrário. Mais de 3 milhões de instalações ativas afetadas.
Uma falha de injeção SQL no ElementorPro Widgets (versões < 4.1.7) permite a extração completa do banco de dados. 2,8 milhões de sites em risco.
Um bypass de autenticação no WooCommerce Payments Gateway (versões < 6.9.3) permite escalação para privilégios de administrador. 2,5 milhões de lojas potencialmente comprometidas.
| CVE | Plugin | CVSS | Instalações ativas | Versão corrigida |
|---|---|---|---|---|
| CVE-2026-1743 | WP Advanced Forms | 9.8 | 3,1M | 3.4.2 |
| CVE-2026-1891 | ElementorPro Widgets | 9.1 | 2,8M | 4.1.7 |
| CVE-2026-2034 | WooCommerce Payments | 9.4 | 2,5M | 6.9.3 |
No total, essas vulnerabilidades afetam mais de 8 milhões de instalações WordPress em todo o mundo.
Sob a Diretiva NIS2 da UE (Diretiva 2022/2555), organizações classificadas como entidades essenciais ou importantes enfrentam obrigações rigorosas:
O Artigo 23 da NIS2 exige um alerta antecipado dentro de 24 horas.
Uma notificação completa deve ser submetida ao CSIRT nacional dentro de 72 horas.
wp plugin list --status=active em todas as instânciasReceba alertas de vulnerabilidade em tempo real, monitoramento de conformidade NIS2 e briefings de segurança diários.
Iniciar teste gratuito →Mantenha a vigilância. — A equipe de segurança KENSAI