Уязвимость типа SQL-инъекция в плагине Ally для WordPress от Elementor, предназначенном для обеспечения доступности и удобства использования веб-сайтов и имеющем более 400 000 установок, могла быть использована для кражи конфиденциальных данных без аутентификации.
Проблема безопасности, отслеживаемая как CVE-2026-2313, получила высокую оценку критичности. Ее обнаружил Дрю Веббер (mcdruid), инженер по наступательной безопасности в Acquia, компании, предоставляющей услуги программного обеспечения как услуги (SaaS) и предлагающей платформу для цифрового опыта (DXP) корпоративного уровня.
Уязвимости SQL-инъекции существуют уже более 25 лет и по-прежнему представляют угрозу, несмотря на их хорошее понимание и техническую простоту исправления и предотвращения. Этот тип проблемы безопасности возникает, когда пользовательский ввод напрямую вставляется в SQL-запрос к базе данных без надлежащей очистки или параметризации.
Это позволяет злоумышленнику внедрить SQL-команды, которые изменяют поведение запроса для чтения, изменения или удаления информации в базе данных.
CVE-2026-2313 затрагивает все версии Ally до 4.0.3 и позволяет неаутентифицированному злоумышленнику внедрять SQL-запросы через путь URL из-за некорректной обработки параметра URL, предоставленного пользователем, в критически важной функции.
«Это связано с недостаточным экранированием параметра URL, предоставленного пользователем, в методе `get_global_remediations()`, где он напрямую конкатенируется в предложение SQL JOIN без надлежащей очистки для SQL-контекста», — говорится в техническом анализе от WordFence.
«Хотя для безопасности URL применяется функция `esc_url_raw()`, она не предотвращает внедрение SQL-метасимволов (одинарных кавычек, скобок).
«Это делает возможным для неаутентифицированных злоумышленников добавлять дополнительные SQL-запросы к уже существующим, которые могут быть использованы для извлечения конфиденциальной информации из базы данных с помощью техник слепой SQL-инъекции, основанной на времени», — объясняют исследователи.
Wordfence отмечает, что эксплуатация уязвимости возможна только в том случае, если плагин подключен к учетной записи Elementor и активен его модуль Remediation.
Фирма по безопасности проверила уязвимость и уведомила об этом поставщика 13 февраля. Elementor устранила уязвимость в версии 4.1.0 (последней), выпущенной 23 февраля, а исследователю была присуждена награда за обнаружение ошибки (bug bounty) в размере 800 долларов США.
Данные с WordPress.org показывают, что только около 36% веб-сайтов, использующих плагин Ally, обновились до версии 4.1.0, что оставляет более 250 000 сайтов уязвимыми перед CVE-2026-2313.
Помимо обновления Ally до версии 4.1.0, владельцам/администраторам сайтов также рекомендуется установить последнее обновление безопасности для WordPress, выпущенное вчера.
WordPress 6.9.2 устраняет 10 уязвимостей, включая проблемы с межсайтовым запросом (XSS), обходом авторизации и подделкой запросов на стороне сервера (SSRF). Рекомендуется установить новую версию платформы «немедленно».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
