Кавычки решают всё. Как одна забытая проверка в коде подставила четверть миллиона владельцев сайтов
Огромная веб-аудитория оказалась совершенно беззащитной.
Уязвимость в популярном плагине Ally для WordPress, разработанном компанией Elementor, поставила под угрозу сотни тысяч сайтов. Ошибка позволяет злоумышленникам получать доступ к данным без авторизации, используя внедрение SQL-запросов.
Проблему обнаружил инженер по наступательной безопасности Дрю Уэббер из компании Acquia. Уязвимость получила идентификатор CVE-2026-2413 и высокий уровень опасности. Плагин Ally предназначен для повышения доступности и удобства сайтов на WordPress и установлен более чем на 400 тысячах ресурсов.
Ошибка затрагивает все версии расширения до 4.0.3 включительно. Злоумышленник может отправить специально сформированный URL и внедрить SQL-запрос в базу данных сайта. Причина связана с некорректной обработкой пользовательского параметра URL в функции get_global_remediations(). Значение параметра добавляется в SQL-запрос без полноценной очистки, что открывает путь для внедрения вредоносных команд.
Специалисты Wordfence поясняют, что используемая функция esc_url_raw() проверяет корректность URL, но не блокирует SQL-метасимволы, включая кавычки и скобки. Благодаря этому атакующий может изменить структуру запроса и извлечь данные из базы. Для кражи информации применяется так называемая слепая SQL-инъекция с анализом времени ответа сервера.
Эксплуатация уязвимости возможна только при определённых условиях. Плагин должен быть подключён к аккаунту Elementor, а модуль Remediation должен работать. Команда Wordfence подтвердила проблему и уведомила разработчиков 13 февраля. Компания Elementor выпустила исправление 23 февраля в версии 4.1.0 и выплатила Дрю Уэбберу вознаграждение в размере 800 долларов за найденную ошибку.
По данным WordPress.org, обновление установили лишь около 36 процентов сайтов. Более 250 тысяч ресурсов продолжают использовать уязвимые версии Ally. Администраторам сайтов рекомендуют срочно установить версию Ally 4.1.0.
Дополнительно разработчики советуют обновить саму платформу WordPress. Недавнее обновление WordPress 6.9.2 устраняет десять проблем безопасности, включая межсайтовое выполнение скриптов, обход механизмов авторизации и уязвимость серверных запросов.