Une vulnérabilité dinjection SQL dans lextension WordPress Ally présente un risque pour plus de 250000 sites.
Un chercheur en sécurité de la société SaaS Acquia a découvert une vulnérabilité dans Ally. Ally est une extension intégrée à Elementor, un outil permettant aux utilisateurs de concevoir leurs propres sites WordPress. Grâce à une vulnérabilité dinjection SQL, des pirates peuvent dérober des données sensibles sans authentification préalable.
Score de gravité élevé
La vulnérabilité (CVE-2026-2413) affecte toutes les versions d’Ally jusqu’à la version 4.0.3 incluse et reçoit un score de gravité élevé. Les vulnérabilités d’injection SQL existent depuis plusieurs années et surviennent lorsque les entrées des utilisateurs sont directement introduites dans la base de données SQL sans validation ni paramètres requis. Les attaquants peuvent alors exécuter des commandes SQL afin de lire toutes les informations contenues dans la base de données, rapporte Bleeping Computer.
Nombre limité dinstallations
Dans une analyse de Wordfence, on peut lire que l’exploitation de la vulnérabilité n’est possible que si l’extension est liée à un compte Elementor actif et si le module de récupération est activé. Seuls 36 % des 400 000 installations ont été mises à jour vers la version 4.1.0. Par conséquent, « seulement » 250 000 sites web sont vulnérables à la faille CVE-2026-2413.
En plus de la mise à jour d’Ally vers la version 4.1.0, il est également conseillé aux administrateurs de sites web d’installer la dernière mise à jour de sécurité pour WordPress, publiée lundi.