Главная НовостиНовости SoftwareУязвимость в плагине Elementor Ally угрожала 246 600 сайтам
Новости Software

Уязвимость в плагине Elementor Ally угрожала 246 600 сайтам

Автор: TrashExpert Staff 1 мин
Уязвимость в плагине Elementor Ally угрожала 246 600 сайтам

WordPress-плагин Ally с более чем 400 000 активных установок получил уязвимость уровня 7,5/10. По оценке на основе публичной статистики, под риском оставались около 246 600 сайтов, пока владельцы не обновились.

Речь о проблеме класса SQL injection в плагине для доступности от Elementor. Атакующий мог работать без авторизации, то есть без учётной записи на сайте.

SQL injection в Ally: что нашли и какие версии затронуты

Уязвимость зарегистрировали как CVE-2026-2413. Она затрагивает все версии Ally до 4.0.3 включительно и связана с тем, что входные данные попадали в запросы к базе без корректной очистки.

Продолжение после рекламы

Сценарий атаки описывают как time-based blind SQL injection. Это техника, когда злоумышленник не видит ответ базы напрямую, но вытягивает данные по косвенным признакам, например по задержкам выполнения запросов. В практическом смысле это риск утечки данных из базы сайта.

Плагин Ally вышел в ноябре 2025 и позиционируется как инструмент веб-доступности. Он не только ищет проблемы, но и помогает администратору применять исправления.

Сколько сайтов успели обновиться и почему цифра пугает

Изображение к статье: Уязвимость в плагине Elementor Ally угрожала 246 600 сайтам

По статистике каталога WordPress, у Ally сейчас более 400 000 активных установок. При этом 38,4% (то есть 153 600 сайтов) уже стояли на актуальной версии, а значит около 246 600 оставались на уязвимых релизах.

Исправление выпустили 23 февраля в версии 4.1.0. WordPress призвал пользователей поставить обновление «немедленно».

Это типичная история для экосистемы WordPress: ядро чаще всего держится крепко, а большая часть проблем приходит через сторонние плагины и темы. Поэтому один популярный плагин с багом быстро превращается в сотни тысяч потенциальных целей.

Параллельно WordPress закрыла уязвимости в самом движке

На фоне истории с Ally разработчики WordPress выпустили WordPress 6.9.2 — это обновление безопасности, которое закрывает 10 уязвимостей. Среди них упоминаются проблемы классов XSS, обход авторизации и SSRF.

Ключевой факт по Ally простой: патч уже доступен в версии 4.1.0, а уязвимость CVE-2026-2413 закрывает именно этот релиз.

Подробнее по техническим деталям уязвимости: BleepingComputer

Постоянный URL: https://trashexpert.ru/news/software-news/wordpress-ally-sqli-cve-2026-2413
Дзен Новости Дзен канал

Продолжение после рекламы

Рейтинг: 0 / 5. Оценок: 0

Рекомендуем почитать

В Windows есть защита от вымогателей, но её почти никто не включает

В Windows есть защита от вымогателей, но её почти никто не включает

Google I/O 2026 пройдет 19-20 мая: что Google обещает показать

Google I/O 2026 пройдет 19-20 мая: что Google обещает показать

Claude начнёт просить паспорт: Anthropic вводит проверку личности

Claude начнёт просить паспорт: Anthropic вводит проверку личности

Adobe и Canva готовят AI-агентов для дизайна и монтажа

Adobe и Canva готовят AI-агентов для дизайна и монтажа

Perplexity Personal Computer для Mac: ИИ-агент с доступом к файлам

Perplexity Personal Computer для Mac: ИИ-агент с доступом к файлам

Proton 11 Beta на Wine 11: NTSync и версия для ARM64

Proton 11 Beta на Wine 11: NTSync и версия для ARM64

В iOS 27 нашли 4 новые функции Apple Intelligence в коде

В iOS 27 нашли 4 новые функции Apple Intelligence в коде

Chrome включит HTTPS по умолчанию к октябрю 2026 года

Chrome включит HTTPS по умолчанию к октябрю 2026 года

Nothing Warp исчез из Google Play и Chrome Web Store за сутки

Nothing Warp исчез из Google Play и Chrome Web Store за сутки

Apple отправила команду Siri на AI-bootcamp перед перезапуском

Apple отправила команду Siri на AI-bootcamp перед перезапуском

Gallup: половина сотрудников в США уже использует ИИ на работе

Gallup: половина сотрудников в США уже использует ИИ на работе

Фейковые письма про удаление iCloud: мошенники давят дедлайном

Фейковые письма про удаление iCloud: мошенники давят дедлайном

OpenAI запустила GPT-5.4-Cyber для киберзащиты и реверса

OpenAI запустила GPT-5.4-Cyber для киберзащиты и реверса

Apple готовит рекламу в Maps: в iOS 26.5 beta 2 показали экран

Apple готовит рекламу в Maps: в iOS 26.5 beta 2 показали экран

AISI: чат-боты чаще соглашаются, если вы формулируете уверенно

AISI: чат-боты чаще соглашаются, если вы формулируете уверенно

Chrome переименовал Gemini Extensions в Skills и упростил запуск

Chrome переименовал Gemini Extensions в Skills и упростил запуск

Оставьте комментарий

Перед оставлением комментария, пожалуйста, ознакомьтесь с правилами комментирования.

Редакция TrashExpert — команда авторов и редакторов, которые пишут о технологиях, играх и электронике. Тестируем устройства, разбираем софт, следим за новостями индустрии. Если в статье не указан конкретный автор — её готовила редакция.