SQL injection ranjivost u WordPress Ally pluginu ugrožava više od 200.000 sajtova
Ranjivost CVE-2026-2413 u WordPress pluginu Ally omogućava neautentifikovanim napadačima da ubace SQL upite kroz URL parametre i izvuku podatke iz baze. Propust nastaje jer funkcija koja obrađuje subscribers upite ne koristi WordPress wpdb prepare() mehanizam za sanitizaciju, što omogućava time-based blind SQL injection i eksfiltraciju osjetljivih informacija.
Pojašnjenje
Veliki broj WordPress sajtova zavisi od dodataka trećih strana koji često postaju ulazna tačka za napade. SQL injection ranjivosti u pluginima omogućavaju napadačima pristup bazi podataka i potencijalno kompromitovanje cijelog sajta.
Preporuke
- Ažurirati Ally plugin na verziju 4.1.0 ili noviju
- Pratiti pokušaje SQL injection napada u web logovima
- Ograničiti pristup administratorskim interfejsima WordPressa
- Redovno ažurirati WordPress dodatke i teme