Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

SQLi ранливост во плагинот Ally на Elementor погодува повеќе од 250.000 WordPress сајтови

Објавено: 13.03.2026

Ранливост од тип SQL injection во Ally, WordPress плагин од Elementor наменет за веб-пристапност и употребливост, кој има повеќе од 400.000 инсталации, може да биде злоупотребена за кражба на чувствителни податоци без потреба од автентикација.

Безбедносниот проблем, означен како CVE-2026-2413, доби висока оценка за сериозност. Тој е откриен од Drew Webber (mcdruid), офанзивен безбедносен инженер во Acquia, компанија која нуди enterprise Digital Experience Platform (DXP) како услуга.

SQL injection ранливостите постојат повеќе од 25 години и и понатаму претставуваат закана, иако се добро познати и технички релативно лесни за спречување. Овој тип на безбедносен проблем се јавува кога кориснички внес директно се додава во SQL база на податоци без соодветно санитизирање или параметризација. Тоа му овозможува на напаѓачот да вметне SQL команди кои го менуваат однесувањето на пребарувањето и овозможуваат читање, менување или бришење на податоци во базата.

Ранливоста CVE-2026-2413 ги погодува сите верзии на Ally до 4.0.3 и му овозможува на неавтентициран напаѓач да вметне SQL прашања преку URL патеката, поради неправилна обработка на параметар доставен од корисник во критична функција.

Според техничката анализа од Wordfence:

  • Проблемот е предизвикан од недоволно „escaping“ на URL параметарот во методот get_global_remediations().
  • Параметарот директно се додава во SQL JOIN клаузула без соодветна SQL санитизација.

Иако функцијата esc_url_raw() се користи за безбедност на URL, таа не спречува SQL метакарактери (како на пример наводници или загради) да бидат вметнати.

Поради ова, неавтентицирани напаѓачи можат да додадат дополнителни SQL барања во веќе постоечките и да извлечат чувствителни податоци од базата користејќи time-based blind SQL injection техники, објаснуваат истражувачите.

Од Wordfence истакнуваат дека експлоатацијата на ранливоста е можна само ако плагинoт е поврзан со Elementor акаунт и ако Remediation модулот е активен.

Безбедносната компанија ја потврдила ранливоста и ја пријавила кај производителот на 13 февруари. Elementor го поправил проблемот во верзијата 4.1.0, објавена на 23 февруари, а на истражувачот му била доделена bug bounty награда од 800 долари.

Според податоците од WordPress.org, само околу 36% од сајтовите кои го користат Ally плагинoт се надградиле на верзијата 4.1.0, што значи дека повеќе од 250.000 веб-сајтови сè уште се ранливи на CVE-2026-2413.

Покрај надградбата на Ally на верзија 4.1.0, сопствениците и администраторите на сајтови се советуваат да го инсталираат и најновото безбедносно ажурирање на WordPress, објавено вчера.

Верзијата WordPress 6.9.2 решава 10 безбедносни ранливости, вклучувајќи:

  • Cross-Site Scripting (XSS)
  • заобиколување на авторизација (authorization bypass)
  • Server-Side Request Forgery (SSRF)

Новата верзија на платформата се препорачува да се инсталира веднаш.

Ако сакаш, можам и да ти објаснам како точно се експлоатира ваков SQL injection во WordPress плагини и како хакерите извлекуваат податоци чекор по чекор. 🔐

Извори:

  • Bleeping Computer – SQLi flaw in Elementor Ally plugin impacts 250k+ WordPress sites Bleeping Computer