
| Nome do plugin | Pedra Angular |
|---|---|
| Tipo de vulnerabilidade | Execução Arbitrária de Código |
| Número CVE | CVE-2026-49113 |
| Urgência | Alto |
| Data de publicação do CVE | 2026-06-06 |
| URL de origem | CVE-2026-49113 |
Aviso de Segurança Urgente — Execução Arbitrária de Código no Plugin Cornerstone (< 7.8.8) e O Que Você Deve Fazer Agora
Data: 2026-06-05
Autor: Equipe de Segurança do Firewall WP
Resumindo:
Uma vulnerabilidade de execução arbitrária de código de alta severidade (CVE-2026-49113, CVSS 8.5) afeta versões do plugin Cornerstone anteriores a 7.8.8. Um usuário autenticado de baixo privilégio (nível de assinante) pode abusar de uma falha de injeção e escalar para execução remota de código em sites vulneráveis. O problema foi relatado pelo pesquisador de segurança Nguyen Ba Khanh em abril de 2026 e publicado publicamente no início de junho de 2026.
Se o seu site WordPress usa Cornerstone e está executando uma versão anterior a 7.8.8, atualize imediatamente. Se você não puder atualizar imediatamente, aplique correção virtual e controles de mitigação do seu WAF, limite o acesso e siga a lista de verificação de resposta a incidentes abaixo.
Este aviso é da equipe de segurança WP‑Firewall e é escrito para proprietários de sites, desenvolvedores e provedores de hospedagem que precisam de orientações claras e práticas — sem enrolação técnica.
O que aconteceu
- Vulnerabilidade: Execução Arbitrária de Código (remota)
- Software afetado: plugin Cornerstone para WordPress
- Versões vulneráveis: qualquer versão anterior a 7.8.8
- Corrigido em: 7.8.8
- CVE: CVE-2026-49113
- Reportado: 23 abr 2026 (pesquisador); divulgação pública 4 jun 2026
- Gravidade: Alto (CVSS 8.5)
- Privilégio necessário: Assinante (usuário autenticado de baixo privilégio)
Em resumo: uma falha permite que um usuário autenticado de baixo privilégio injete dados que podem ser utilizados para executar código arbitrário sob o usuário do servidor web/PHP. Os atacantes podem usar isso para instalar backdoors, criar contas de administrador falsas ou assumir o controle total do site e se mover para outros sistemas.
Por que isso é perigoso
Estas são as principais razões pelas quais essa classe de vulnerabilidade é especialmente séria:
- A execução arbitrária de código significa que o atacante pode executar comandos PHP ou de nível de sistema no contexto do seu servidor web. Isso pode levar a um comprometimento total do site.
- O privilégio necessário para o atacante é baixo (assinante). Qualquer site que permita registro de usuários ou tenha assinantes — incluindo associações, blogs e lojas de eCommerce — está exposto.
- Vulnerabilidades como esta são comumente abusadas em campanhas de exploração em massa automatizadas. Uma vez que um PoC está disponível, varreduras automatizadas em larga escala geralmente seguem rapidamente.
- A detecção é frequentemente atrasada: os atacantes tendem a instalar backdoors furtivos que sobrevivem a atualizações de plugins, a menos que a limpeza seja minuciosa.
Como os atacantes podem abusar disso (nível alto, não exploratório)
Em vez de mostrar código de exploração, aqui está o fluxo de trabalho do atacante contra o qual você deve se defender:
- Crie ou use uma conta de assinante (ou comprometa uma).
- Envie uma entrada elaborada para um endpoint vulnerável do Cornerstone (ação AJAX, admin-ajax, rotas AJAX de plugin ou campos de formulário) que não sanitiza ou valida o conteúdo adequadamente.
- Injete cargas úteis que fazem com que o aplicativo avalie ou escreva PHP fornecido pelo atacante (ou crie uma carga útil armazenada que posteriormente aciona a execução de código).
- Use a execução remota de código para escrever um webshell PHP, criar um novo usuário administrador, modificar arquivos de tema ou manter acesso persistente.
- Realize roubo de dados, abuso de SEO, spam, movimentação pelo ambiente de hospedagem ou criptografe conteúdo para resgate.
Como o passo inicial requer apenas privilégios de assinante, sites com registro aberto, inscrições de membros ou fluxos vulneráveis de comentário para usuário estão em risco elevado.
Quem está em risco
- Sites com versões do plugin Cornerstone mais antigas que 7.8.8.
- Sites que permitem registro de usuários ou com usuários de nível assinante.
- Ambientes de hospedagem compartilhada e multi-site onde um atacante pode se mover.
- Sites que não têm WAF/patch virtual ou monitoramento agressivo habilitado.
Se você hospedar várias instalações do WordPress, verifique todas elas. Atacantes normalmente escaneiam domínios e subdomínios, então um site vulnerável em um cluster é frequentemente suficiente para comprometer várias propriedades.
Medidas imediatas (o que fazer na próxima hora)
- Atualize o Cornerstone para 7.8.8 ou posterior — o patch é a correção definitiva. Faça isso imediatamente, se puder.
- Se você não puder atualizar agora, desativar o plugin Cornerstone ou desative o recurso que expõe o endpoint vulnerável (teste em staging, se possível).
- Habilite o patch virtual através do seu WAF — aplique regra(s) para bloquear os padrões de solicitação vulneráveis e desative endpoints AJAX perigosos ligados ao plugin.
- Force redefinições de senha para todas as contas de usuário acima de “assinante” e para contas suspeitas. Considere redefinir todas as senhas de administrador.
- Fortaleça o registro de usuários — desative temporariamente registros públicos se você os tiver.
- Ative ou aumente a monitorização/logs e procure por indicadores de comprometimento (veja abaixo).
- Se você suspeitar que foi comprometido, coloque o site offline ou coloque-o em modo de manutenção enquanto investiga e remedia.
Indicadores de Comprometimento (IoCs) — o que procurar
Procure por esses sinais em seus arquivos, banco de dados e logs do servidor:
- Usuários administrativos inesperados ou usuários com funções elevadas que você não criou.
- Arquivos PHP novos ou modificados em wp-content/uploads, temas ou plugins; especialmente arquivos com nomes aleatórios ou contendo chamadas eval/base64_decode/system.
- Tarefas agendadas suspeitas (entradas wp_cron) ou trabalhos cron desconhecidos.
- Conexões de rede de saída do servidor web para IPs/domínios incomuns.
- Picos anormais em CPU, memória ou tráfego de saída.
- Erros de servidor 500/503 correlacionados com solicitações POST para endpoints de plugins.
- Entradas estranhas nos logs de acesso: POST para admin-ajax.php ou endpoints de plugins personalizados com cargas úteis incomuns (longas strings Base64, dados serializados com classes que você não reconhece).
- Artefatos de webshell: arquivos com longas linhas de dados codificados ou chamadas para eval, preg_replace com /e, assert() ou create_function().
Greps úteis (execute no console do servidor; adapte os caminhos ao seu ambiente):
- Encontrar arquivos PHP recentemente modificados:
find /var/www/html -type f -name "*.php" -mtime -30 -print - Procure por padrões base64 & eval:
grep -R --line-number -I --exclude-dir=vendor -E "base64_decode|eval\(|assert\(|preg_replace\(|create_function\(" /var/www/html - Pesquise logs de acesso por POSTs suspeitos para admin-ajax:
zgrep "POST .*admin-ajax.php" /var/log/apache2/*access* | grep -E "base64|eval|wp-content"
Observação: Se você encontrar indicadores positivos, preserve logs e timestamps de arquivos. Faça uma captura forense antes de fazer alterações, se possível.
Estratégia de remediação detalhada
Abordagem passo a passo para contenção, erradicação e recuperação.
1. Contenção
- Atualize o plugin vulnerável para 7.8.8 como seu primeiro passo de contenção.
- Se a atualização não for possível, desative o plugin ou bloqueie solicitações para os endpoints vulneráveis.
- Aplique regras de WAF para bloquear os padrões de exploração (patching virtual).
- Desative o registro público e limite logins com lista de IPs permitidos sempre que possível.
2. Investigação
- Colete logs: servidor web, PHP-FPM, acesso, logs de erro e logs do WordPress (se houver).
- Compare as somas de verificação dos arquivos com um backup conhecido como bom ou com a distribuição original do plugin/tema.
- Verifique arquivos de núcleo/tema/plugin modificados e arquivos recém-criados em wp-content/uploads, wp-content/plugins e wp-content/themes.
3. Erradicação
- Remova quaisquer webshells ou backdoors descobertos (faça isso com cautela; se estiver incerto, restaure a partir de um backup limpo).
- Exclua quaisquer usuários administradores indesejados e redefina todas as senhas.
- Rode todos os chaves de API e credenciais que possam ter sido expostas.
4. Recuperação
- Restaure os arquivos do site e o banco de dados a partir de um backup limpo pré-comprometido, em seguida, atualize plugins/temas imediatamente.
- Reinstale o Cornerstone através de um download fresco da fonte oficial, em seguida, atualize para 7.8.8 ou posterior.
- Reaplique o endurecimento de segurança: permissões de arquivos, desative a edição de arquivos em wp-config.php, funções de usuário com o menor privilégio.
5. Pós-incidente
- Realize uma varredura de segurança completa (scanner de malware, verificação de integridade de arquivos).
- Revise logs em busca de movimento lateral ou indicadores recorrentes.
- Eduque usuários e funcionários sobre o incidente e implemente mitigação a longo prazo.
Se você não tiver a expertise interna, contrate um especialista em segurança que possa realizar uma análise forense e fornecer um plano de recuperação limpo. Os anfitriões devem considerar colocar em quarentena as contas afetadas enquanto a investigação prossegue.
Como o WP‑Firewall protege você (opções práticas de mitigação)
No WP‑Firewall, recomendamos uma abordagem em camadas. Aqui está como nosso firewall gerenciado, WAF e serviços de segurança ajudam a bloquear esse tipo de ataque enquanto você aplica correções de longo prazo:
- Patching Virtual (regras WAF): Podemos implantar regras direcionadas que interceptam e bloqueiam cargas úteis maliciosas direcionadas a pontos finais vulneráveis do Cornerstone, prevenindo tentativas de exploração sem exigir uma atualização imediata do plugin.
- Detecção comportamental: Detectar e limitar padrões POST suspeitos, tamanhos de solicitações incomuns e cargas úteis malformadas (por exemplo, blobs Base64 incomumente grandes ou cargas úteis serializadas).
- Controles de acesso baseados em função: Limitar o acesso a pontos finais administrativos por IP ou exigir autenticação adicional para acesso aos manipuladores AJAX do plugin.
- Verificação e correção de malware: Escaneamento contínuo para padrões de webshell conhecidos e quarentena/remoção automática de arquivos maliciosos.
- Alertas e logs em tempo real: Enviar alertas acionáveis (e-mail/SMS/UI) quando uma possível tentativa de exploração for bloqueada, com logs contextuais para acompanhamento.
- Suporte a incidentes: Orientação e remediação gerenciada se você descobrir uma violação.
Esses controles reduzem o risco imediatamente e compram tempo para que você realize as atualizações recomendadas e os passos forenses.
Conceitos de regras WAF sugeridos (não cole cargas úteis de exploração brutas)
Abaixo estão padrões e ações de alto nível que você deve considerar para regras WAF. Implemente com cuidado — teste primeiro no modo de detecção/aprendizagem para evitar bloquear tráfego legítimo.
- Bloquear padrões óbvios de código remoto:
- Bloquear solicitações contendo nomes de funções suspeitas nos dados POST:
avaliação(,afirmar(,base64_decode(,sistema(,exec(,shell_exec(,passagem (,preg_replace("/e"). - Ação: BLOQUEAR e REGISTRAR.
- Bloquear solicitações contendo nomes de funções suspeitas nos dados POST:
- Limitar pontos finais AJAX administrativos:
- Restringir chamadas para admin-ajax.php e quaisquer endpoints AJAX específicos de plugins de usuários não autenticados.
- Para endpoints de plugins conhecidos que realizam ações privilegiadas, exigir um token interno ou que se originem de administradores logados.
- Limites de tamanho e verificações de conjunto de caracteres:
- Bloquear corpos POST contendo strings codificadas muito grandes, uso intenso de caracteres não imprimíveis ou cargas úteis serializadas extremamente longas.
- Ação: DESAFIO/REJEITAR com CAPTCHA ou 403.
- Assinatura para injeção de objeto PHP serializado:
- Detectar/classificar cargas úteis serializadas que incluam nomes de classes inesperados (particularmente classes de aplicação que poderiam ser deserializadas de forma monstruosa).
- Ação: BLOQUEAR + ALERTAR.
- Perfil de comportamento do usuário:
- Limitar solicitações repetidas de contas ou endereços IP recém-criados, especialmente ao postar cargas úteis longas.
- Ação: LIMITAR TAXA ou BANIMENTO TEMPORÁRIO.
- Restrições Geo/IP (se aplicável):
- Para áreas administrativas, permitir apenas regiões geográficas conhecidas ou faixas de IP conhecidas; bloquear ou desafiar outras.
- Política para uploads:
- Impedir a execução de arquivos PHP em diretórios de upload. Negar qualquer .php, .phtml, .phar em uploads pela configuração do servidor.
- Implementar verificação rigorosa de tipo de arquivo para uploads.
Observação: Estes são controles conceituais — WP‑Firewall pode implementar regras personalizadas, com baixo índice de falsos positivos para você. Nunca aplique regras em modo “bloquear” sem validar os logs em modo de detecção primeiro.
Manual de detecção e caça (consultas práticas)
Use estes exemplos para caçar evidências de exploração tentada ou bem-sucedida.
Banco de dados do WordPress: procure por opções suspeitas ou conteúdo de postagens:
SELECT option_name, option_value
FROM wp_options
WHERE option_name LIKE '%cornerstone%' OR option_value LIKE '%eval(%' OR option_value LIKE 'se64_%';
SELECIONE ID, user_login, user_email, user_registered, user_status;
Logs do servidor: procure por solicitações suspeitas:
zgrep -i "admin-ajax.php" /var/log/apache2/*access* | zgrep -Ei "base64|eval|serialize|object"
Sistema de arquivos: verifique se há novos arquivos PHP em uploads:
find /var/www/html/wp-content/uploads -type f -name "*.php" -print
Se você ver sinais de abuso de serialização ou cargas úteis codificadas, assuma potencial comprometimento e escale para resposta a incidentes.
Recomendações de endurecimento (prevenir futuros incidentes)
- Mantenha todos os plugins, temas e núcleo atualizados. Ative atualizações automáticas onde for seguro.
- Limite os papéis dos usuários e aplique o princípio do menor privilégio.
- Desative editores de plugins e temas: adicione
define('DISALLOW_FILE_EDIT', true);em wp-config.php. - Imponha senhas fortes e MFA para todas as contas privilegiadas.
- Use um WAF gerenciado com patching virtual e varredura automatizada.
- Desativar a execução de PHP em uploads:
<FilesMatch "\.php$"> Deny from all </FilesMatch> - Faça backup regularmente e verifique backups fora do site.
- Execute verificações regulares de integridade de arquivos e varreduras de malware.
- Monitore logs em busca de anomalias e armazene logs centralmente para retenção/prontidão forense.
- Eduque a equipe e os usuários sobre phishing e higiene de credenciais.
Recomendações para provedores de hospedagem
- Escaneie proativamente sites de inquilinos em busca das versões vulneráveis do Cornerstone e notifique os clientes.
- Ofereça patching virtual automático ou regras de WAF para inquilinos afetados.
- Fornecer orientação e assistência aos clientes para atualizar para o patch fornecido pelo fornecedor.
- Colocar em quarentena sites suspeitos de comprometimento e notificar os clientes com etapas de remediação e opções forenses.
- Bloquear a execução direta de PHP em diretórios de upload em todas as contas, a menos que explicitamente necessário.
Lista de verificação de recuperação (se você foi comprometido)
- Colocar o site offline ou em modo de manutenção para contenção.
- Congelar alterações nos logs e tirar uma captura forense.
- Identificar o vetor de acesso inicial; catalogar todos os indicadores.
- Remover webshells/backdoors ou restaurar de um backup limpo.
- Corrigir plugins vulneráveis (Cornerstone 7.8.8+).
- Rotacionar todas as senhas e chaves de API (banco de dados, admin, FTP/SFTP, painel de hospedagem).
- Reinstalar todos os plugins/temas de fontes oficiais.
- Reexecutar verificações completas de malware e verificações de integridade de arquivos.
- Reativar serviços e monitorar de perto para recorrência.
- Relatar o incidente ao seu host/parceiro de segurança e considerar divulgar para as partes interessadas afetadas.
Como nós da WP‑Firewall aconselhamos a lidar com este aviso específico do Cornerstone
- Se você estiver executando o Cornerstone <7.8.8, priorize uma atualização imediata para 7.8.8 ou posterior.
- Use nosso WAF gerenciado para aplicar patches virtuais direcionados enquanto você agenda a atualização.
- Se você tiver registro aberto, feche temporariamente ou coloque etapas de verificação adicionais para novas contas.
- Ativar a verificação de malware em todo o site e executar uma verificação de integridade com um clique do WP‑Firewall.
- Ativar proteções automáticas de lista negra e limitação de taxa para pontos finais suspeitos e novas contas.
Nossa equipe de operações de segurança gerenciada está disponível para ajudar com investigações e remediação de emergência para clientes em planos pagos. Para equipes que desejam defesa imediata de autoatendimento, nosso plano Básico gratuito inclui firewall gerenciado, WAF, scanner de malware e mitigação para os riscos do OWASP Top 10 (detalhes abaixo).
Novo: Proteção imediata para proprietários de sites — Visão geral do plano gratuito
Obtenha proteção imediata gratuita com WP‑Firewall
Se você deseja proteção básica instantânea e sem custo enquanto se prepara para atualizações e remediação, nosso plano Básico (Gratuito) fornece defesas essenciais:
- Regras de firewall gerenciado e WAF para bloquear exploits conhecidos, incluindo vetores do OWASP Top 10
- Largura de banda ilimitada e bloqueio de ataques em tempo real
- Scanner de malware para detectar webshells comuns e arquivos suspeitos
- Regras de mitigação automatizadas para padrões comuns de injeção e RCE
Inscreva-se agora para habilitar correção virtual imediata e proteção contínua: https://my.wp-firewall.com/buy/wp-firewall-free-plan/
(Se você precisar de limpeza automatizada, lista branca/preta de IPs ou relatórios mensais, confira nossos níveis Standard e Pro para remediação avançada, serviços gerenciados e correção virtual automática.)
Perguntas frequentes
Q — Eu já atualizei para 7.8.8. Estou seguro?
A — A atualização remove a vulnerabilidade; no entanto, se seu site foi explorado antes da atualização, você ainda pode ter portas dos fundos ou mecanismos de persistência. Execute uma verificação completa de malware, inspecione arquivos e usuários e verifique os backups.
Q — Não posso tirar o site do ar — o que devo fazer?
A — Coloque o WAF em modo de bloqueio e habilite a correção virtual imediatamente. Isolar e bloquear o registro de usuários e qualquer acesso externo aos pontos finais do plugin até que você possa aplicar o patch.
Q — Um visitante pode explorar isso sem fazer login?
A — A vulnerabilidade requer acesso autenticado no nível do assinante. No entanto, os atacantes costumam criar ou obter contas de assinantes por meio de registro ou roubo de credenciais, portanto, registros públicos aumentam o risco.
Q — A atualização vai quebrar o design do meu site ou personalizações?
A — Atualizações de plugins podem às vezes afetar integrações personalizadas. Sempre teste as atualizações primeiro em um ambiente de staging. Se a atualização imediata for necessária para evitar comprometimento, aplique a atualização e depois teste; se algo quebrar, restaure a partir de um backup limpo e trabalhe com o autor do plugin ou um desenvolvedor.
Palavras finais
Esta é uma vulnerabilidade de alta prioridade. Embora o privilégio necessário do atacante seja baixo, as consequências podem ser a tomada total do site. Não atrase: atualize o Cornerstone para 7.8.8 agora, habilite a correção virtual do WAF se não puder atualizar imediatamente e realize uma investigação focada em indicadores de comprometimento. Se precisar de ajuda, considere envolver respondentes de incidentes experientes em WordPress.
Nós, da WP‑Firewall, estamos monitorando a situação e temos regras de proteção disponíveis para todos os clientes. Se você precisar de ajuda rápida e prática, nossa equipe de segurança está pronta para ajudar.
Fique seguro,
Equipe de Segurança do Firewall WP
