CVE-2026-2413

Nome do Software Vulnerável e Versões Afetadas O plugin Ally – Web Accessibility & Usability para WordPress (versões anteriores à 4.1.0)

Descrição O plugin Ally – Web Accessibility & Usability para WordPress é vulnerável a injeção SQL por meio do caminho da URL. Isso ocorre devido ao escapamento inadequado do parâmetro de URL fornecido pelo usuário no método get global remediations(). O parâmetro é incorporado diretamente a uma cláusula JOIN SQL sem sanitização adequada para o contexto SQL, apesar da aplicação de esc url raw() para segurança de URL, o que não impede que metacaracteres SQL sejam injetados. Isso permite que atacantes não autenticados adicionem consultas SQL adicionais às consultas existentes, possivelmente extraindo informações sensíveis do banco de dados usando técnicas de injeção SQL cega baseada em tempo. O Módulo de Remediação deve estar ativo, exigindo uma conexão com uma conta Elementor, para que a vulnerabilidade possa ser explorada. Aproximadamente 400.000 sites WordPress são afetados.

Recomendações Atualize para a versão 4.1.0 ou posterior.