Кавычки решают всё. Как одна забытая проверка в коде подставила четверть миллиона владельцев сайтов
NewsMakerОгромная веб-аудитория оказалась совершенно беззащитной.
Уязвимость в популярном плагине Ally для WordPress, разработанном компанией Elementor, поставила под угрозу сотни тысяч сайтов. Ошибка позволяет злоумышленникам получать доступ к данным без авторизации, используя внедрение SQL-запросов.
Проблему обнаружил инженер по наступательной безопасности Дрю Уэббер из компании Acquia. Уязвимость получила идентификатор CVE-2026-2413 и высокий уровень опасности. Плагин Ally предназначен для повышения доступности и удобства сайтов на WordPress и установлен более чем на 400 тысячах ресурсов.
Ошибка затрагивает все версии расширения до 4.0.3 включительно. Злоумышленник может отправить специально сформированный URL и внедрить SQL-запрос в базу данных сайта. Причина связана с некорректной обработкой пользовательского параметра URL в функции get_global_remediations(). Значение параметра добавляется в SQL-запрос без полноценной очистки, что открывает путь для внедрения вредоносных команд.
Специалисты Wordfence поясняют , что используемая функция esc_url_raw() проверяет корректность URL, но не блокирует SQL-метасимволы, включая кавычки и скобки. Благодаря этому атакующий может изменить структуру запроса и извлечь данные из базы. Для кражи информации применяется так называемая слепая SQL-инъекция с анализом времени ответа сервера.
Уязвимость в популярном плагине Ally для WordPress, разработанном компанией Elementor, поставила под угрозу сотни тысяч сайтов. Ошибка позволяет злоумышленникам получать доступ к данным без авторизации, используя внедрение SQL-запросов.
Проблему обнаружил инженер по наступательной безопасности Дрю Уэббер из компании Acquia. Уязвимость получила идентификатор CVE-2026-2413 и высокий уровень опасности. Плагин Ally предназначен для повышения доступности и удобства сайтов на WordPress и установлен более чем на 400 тысячах ресурсов.
Ошибка затрагивает все версии расширения до 4.0.3 включительно. Злоумышленник может отправить специально сформированный URL и внедрить SQL-запрос в базу данных сайта. Причина связана с некорректной обработкой пользовательского параметра URL в функции get_global_remediations(). Значение параметра добавляется в SQL-запрос без полноценной очистки, что открывает путь для внедрения вредоносных команд.
Специалисты Wordfence поясняют , что используемая функция esc_url_raw() проверяет корректность URL, но не блокирует SQL-метасимволы, включая кавычки и скобки. Благодаря этому атакующий может изменить структуру запроса и извлечь данные из базы. Для кражи информации применяется так называемая слепая SQL-инъекция с анализом времени ответа сервера.