Selon BleepingComputer, une vulnérabilité d’injection SQL affecte Ally, un plugin WordPress d’Elementor dédié à l’accessibilité et l’ergonomie web, comptant plus de 400 000 installations. Cette faille pourrait être exploitée sans authentification pour dérober des données sensibles. ⚠️
P## Vulnérabilité SQL injection dans le plugin WordPress Ally (Elementor)
Résumé
Une vulnérabilité SQL injection critique affecte le plugin Ally, un module WordPress développé par Elementor pour améliorer l’accessibilité des sites web.
- CVE : CVE-2026-2413
- Gravité : élevée
- Installations : plus de 400 000 sites WordPress
- Sites encore vulnérables : plus de 250 000
La faille permet à un attaquant non authentifié d’exécuter des requêtes SQL malveillantes et d’extraire des données sensibles de la base de données.
Détails techniques
La vulnérabilité provient d’une mauvaise gestion d’un paramètre URL contrôlé par l’utilisateur dans la fonction :
Le paramètre est inséré directement dans une requête SQL dans une clause JOIN, sans protection suffisante contre l’injection SQL.
Bien que la fonction esc_url_raw() soit utilisée, celle-ci :
- nettoie les URL
- ne bloque pas les métacaractères SQL (ex :
',(,))
Cela permet d’injecter des commandes SQL supplémentaires.
Type d’attaque
L’exploitation repose sur une time-based blind SQL injection.
Cela permet aux attaquants de :
- extraire des données de la base
- tester les réponses de la base de données
- récupérer des informations sensibles progressivement.
Conditions d’exploitation
L’attaque est possible uniquement si :
- le plugin Ally est connecté à un compte Elementor
- le module Remediation est activé
Impact potentiel
Une exploitation réussie pourrait permettre :
- exfiltration de données WordPress
- récupération de comptes utilisateurs
- accès à des données sensibles
- collecte d’informations pour d’autres attaques.
Les bases WordPress contiennent souvent :
- identifiants utilisateurs
- emails
- hash de mots de passe
- clés API
- données de configuration.
Découverte et correction
- Découverte : Drew Webber (Acquia)
- Divulgation au fournisseur : 13 février 2026
- Correctif publié : 23 février 2026
La faille est corrigée dans :
Le chercheur a reçu une prime de bug bounty de 800 dollars.
Situation actuelle
Selon les données de WordPress.org :
- seulement 36 % des sites ont appliqué la mise à jour
- plus de 250 000 sites restent vulnérables.
Correctifs recommandés
Administrateurs WordPress :
- Mettre à jour Ally vers la version 4.1.0
- Installer la dernière version de WordPress :
Cette version corrige également 10 vulnérabilités supplémentaires, dont :
- XSS (Cross-Site Scripting)
- bypass d’autorisation
- SSRF (Server-Side Request Forgery).
Recommandations de sécurité
Mesures conseillées :
- mettre à jour les plugins et thèmes
- limiter l’exposition des plugins externes
- appliquer le principe du moindre privilège
- surveiller les logs d’accès anormaux
- utiliser un WAF WordPress.
Conclusion
Cette vulnérabilité démontre que les SQL injections restent une menace majeure, malgré plus de 25 ans d’existence et des solutions bien connues.
Le faible taux de mise à jour des plugins WordPress signifie que des centaines de milliers de sites restent exposés, ce qui pourrait conduire à des campagnes d’exploitation automatisées à grande échelle. Contexte: l’information met en lumière une faille de sécurité dans un plugin WordPress largement déployé, avec un risque de compromission de données.
Conclusion: article de presse spécialisé signalant une vulnérabilité et son impact potentiel sur les sites utilisant le plugin Ally.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/sqli-flaw-in-elementor-ally-plugin-impacts-250k-plus-wordpress-sites/