Een SQL-injectiekwetsbaarheid in de WordPress plug-in Ally vormt een risico voor meer dan 250.000 sites.
Een beveiligingsonderzoeker van SaaS-bedrijf Acquia trof een kwetsbaarheid aan in Ally. Ally is een plug-in die voorkomt in Elementor, een tool waarmee gebruikers hun eigen WordPress-websites kunnen ontwerpen. Dankzij een SQL-injectiekwetsbaarheid kunnen hackers gevoelige gegevens stelen zonder vereiste authenticatie.
Hoge ernstscore
De kwetsbaarheid (CVE-2026-2413) treft alle Ally-versies tot en met 4.0.3 en krijgt een hoge ernstscore. Kwetsbaarheden in SQL-injecties komen al enkele jaren voor en ontstaan omdat gebruikersinvoer rechtstreeks in de SQL-database wordt ingevoerd zonder validatie of vereiste parameters. Aanvallers kunnen op hun beurt SQL-opdrachten uitvoeren zodat alle info in de database uitgelezen kan worden, weet Bleeping Computer.
Beperkt aantal installaties
In een analyse van Wordfence staat te lezen dat het misbruiken van de kwetsbaarheid enkel mogelijk is als de plug-in gekoppeld is aan een actief Elementor-account en als de herstelmodule geactiveerd is. Slechts 36 procent van de 400.000 installaties is geüpgraded naar versie 4.1.0. Daardoor zijn ‘maar’ 250.000 websites kwetsbaar voor CVE-2026-2413.
Naast het upgraden van Ally naar versie 4.1.0, wordt websitebeheerders ook aangeraden de nieuwste beveiligingsupdate voor WordPress te installeren, die maandag is uitgebracht.