Uma vulnerabilidade de SQL injection foi identificada no Ally, plugin para WordPress desenvolvido pela Elementor, focado em acessibilidade e usabilidade web, com mais de 400 mil instalações.
Essa falha permite que invasores roubem dados sensíveis sem necessidade de autenticação.
Catalogada como
CVE-2026-2313
, a vulnerabilidade recebeu uma alta pontuação de gravidade.
Foi descoberta por Drew Webber (mcdruid), engenheiro de segurança ofensiva da Acquia, empresa que oferece uma plataforma digital corporativa (Digital Experience Platform - DXP) na modalidade software como serviço (SaaS).
Falhas de SQL injection existem há mais de 25 anos e continuam representando uma ameaça, apesar de serem bem conhecidas e geralmente simples de corrigir.
Esse tipo de vulnerabilidade ocorre quando dados fornecidos pelo usuário são inseridos diretamente em consultas SQL sem a devida sanitização ou parametrização.
Assim, o invasor pode injetar comandos SQL que alteram o comportamento da consulta, permitindo leitura, modificação ou exclusão de informações no banco de dados.
A
CVE-2026-2313
afeta todas as versões do Ally até a 4.0.3.
Ela possibilita que um atacante não autenticado injete comandos SQL por meio do parâmetro de URL, devido ao tratamento inadequado desse dado em uma função crítica.
Segundo análise técnica da WordFence, “o problema está na falta de escape adequado no parâmetro de URL fornecido pelo usuário na função `get_global_remediations()`, que o concatena diretamente em uma cláusula SQL JOIN sem sanitização específica para contexto SQL.”
Embora a função `esc_url_raw()` seja aplicada para garantir a segurança da URL, ela não impede a inserção de caracteres especiais usados em SQL, como aspas simples ou parênteses.
Isso abre brecha para que atacantes não autenticados incluam comandos SQL adicionais em consultas existentes, explorando técnicas de blind SQL injection baseada em tempo para extrair dados confidenciais.
A WordFence ressalta que a exploração só é possível se o plugin estiver conectado a uma conta Elementor e o módulo Remediation estiver ativo.
A falha foi validada pela empresa e reportada ao fornecedor em 13 de fevereiro.
A Elementor corrigiu o problema na versão 4.1.0, lançada em 23 de fevereiro, e pagou uma recompensa de US$ 800 ao pesquisador responsável.
Dados do WordPress.org indicam que apenas cerca de 36% dos sites que utilizam o Ally atualizaram para a versão 4.1.0, deixando mais de 250 mil sites expostos à
CVE-2026-2313
.
Além de atualizar o Ally, os administradores são orientados a instalar a última atualização de segurança do WordPress, lançada ontem.
O WordPress 6.9.2 corrige 10 vulnerabilidades, incluindo falhas de cross-site scripting (XSS), bypass de autorização e server-side request forgery (SSRF).
A instalação dessa versão é recomendada com urgência para garantir a segurança dos sites.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...