- O plugin Ally WordPress tinha uma falha de injeção de SQL (CVE-2026-2413)
- A vulnerabilidade deixou cerca de 246.600 sites vulneráveis ao roubo de dados
- Corrigido na versão 4.1.0; WordPress requer atualizações imediatas
Um popular plugin do WordPress com centenas de milhares de instalações ativas tinha uma vulnerabilidade crítica que poderia permitir que atores mal-intencionados roubassem dados confidenciais de sites, alertaram especialistas.
Ally é uma ferramenta de acessibilidade web da Elementor, lançada em novembro de 2025, como uma ferramenta que não apenas identifica problemas de acessibilidade, mas também fornece soluções e orienta os webmasters no processo de implementação.
Mas de acordo com Drew Webber, pesquisador de segurança da Acquia, Ally carregava uma vulnerabilidade de injeção de SQL que permite que invasores não autenticados enviem dados para o banco de dados SQL sem o devido saneamento.
O artigo continua abaixo
Milhares de sites vulneráveis
“Isso possibilita que invasores não autenticados adicionem consultas SQL adicionais às consultas existentes por meio de técnicas de injeção de SQL baseadas em tempo que podem ser usadas para extrair informações confidenciais do banco de dados”, disse Webber.
A falha permanece como CVE-2026-2413 e recebeu uma pontuação de gravidade de 7,5/10 (alta). Afeta todas as versões até 4.0.3 e foi corrigido em 23 de fevereiro com a versão 4.1.0.
Olhando para o WordPress.org, existem atualmente mais de 400.000 instalações ativas, com 38,4% (153.600) executando a versão mais recente. Isso deixa aproximadamente 246.600 sites vulneráveis.
O WordPress é geralmente considerado uma plataforma segura de construção de sites; a maioria das vulnerabilidades vem de plug-ins e temas de terceiros. É por isso que a maioria dos profissionais de segurança aconselha os usuários a manter apenas os plug-ins e temas que estão usando e a garantir que estejam sempre atualizados.
Além de atualizar o Ally, os usuários também devem atualizar a própria plataforma, já que ela lançou recentemente sua atualização de segurança mais recente, já que o WordPress 6.9.2 corrige 10 vulnerabilidades, incluindo uma falha de solicitação entre sites (XSS), uma vulnerabilidade de desvio de autorização e uma falha de falsificação de solicitação do lado do servidor (SSRF).
O WordPress pede a seus clientes que instalem a versão mais recente “imediatamente”.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
