Uma vulnerabilidade de segurança recentemente divulgada em um plugin popular do WordPress está deixando centenas de milhares de sites abertos a ataques a bancos de dados, embora um patch já tenha sido lançado.
Pesquisadores de segurança cibernética da Wordfence alertaram que o problema afeta o plugin Ally WordPress usado em mais de 400.000 sites e se origina de uma vulnerabilidade de injeção de SQL que os invasores podem explorar sem fazer login. A vulnerabilidade, rastreada como CVE-2026-2413, permite que atores mal-intencionados extraiam dados confidenciais diretamente do banco de dados de um site.
Uma falha que abre a porta para o acesso ao banco de dados
A vulnerabilidade vem de como o plugin lida com certos parâmetros de URL. Em vez de verificar e filtrar adequadamente a entrada do usuário antes de enviá-la ao banco de dados, o plug-in permite que invasores manipulem consultas inserindo código SQL malicioso.
Isso significa que um URL especialmente criado pode acionar consultas não autorizadas ao banco de dados. Os pesquisadores dizem que os invasores podem usar técnicas de injeção cega de SQL baseadas em tempo, que dependem de atrasos nas respostas do servidor para revelar gradualmente as informações armazenadas no banco de dados.
De acordo com o Wordfence postagem no blogessas informações podem incluir contas de administrador, endereços de e-mail, hashes de senha ou outros registros confidenciais armazenados pelo site.
Desenvolvedores por trás do plugin Ally lançou uma correção na versão 4.1.0 em 23 de fevereiro, abordando a vulnerabilidade corrigindo a forma como as consultas ao banco de dados são tratadas. No entanto, apesar da disponibilidade da atualização, a adoção tem sido lenta. De acordo com pesquisadores de segurança, cerca de 60% das instalações ainda rodavam versões vulneráveis em 11 de março, deixando mais de 200 mil sites expostos.
Por que a injeção de SQL ainda continua aparecendo
Embora a injeção de SQL seja conhecida há décadas, ela continua sendo uma das falhas de segurança da web mais comuns. Comentando o assunto, Yagub RahimovCEO da Polygraf AI, disse que a vulnerabilidade reflete um erro de desenvolvimento familiar.
“A injeção de SQL é provavelmente uma das vulnerabilidades mais antigas na segurança da web e continua aparecendo porque os desenvolvedores cometem o mesmo erro: concatenar a entrada do usuário diretamente nas consultas do banco de dados em vez de usar instruções parametrizadas”, disse Rahimov.
Ele observou que o WordPress já oferece proteções integradas para evitar esse tipo de falha. “WordPress fornece wpdb prepare() para prevenir esse tipo de vulnerabilidade e simplesmente não foi utilizado”, explicou.
Se exploradas, as consequências poderão ir além da simples exposição de dados. De acordo com Rahimov, todo o banco de dados do WordPress pode se tornar acessível, incluindo contas de usuários, endereços de e-mail, senhas com hash e outros registros confidenciais.
“O pior é que o ataque não requer nenhuma autenticação”, acrescentou. “Qualquer pessoa pode acioná-lo enviando uma URL criada, e a exploração é simples de automatizar usando ferramentas de injeção de SQL amplamente conhecidas.”
Como a vulnerabilidade pode ser explorada remotamente e sem credenciais de login, ela é particularmente atraente para ataques automatizados em larga escala.
“Com 60% das instalações ainda sem correção em 11 de março, são mais de 200.000 sites expostos após uma correção estar disponível por duas semanas”, disse Rahimov.
Ele enfatizou que a correção em si é simples. “O patch é uma chamada de função única. Os sites que executam o plugin Ally precisam atualizar para a versão 4.1.0 imediatamente.”
O que os proprietários de sites devem fazer
Os administradores de sites que usam WordPress com o plugin Ally devem atualizar para a versão 4.1.0 ou posterior imediatamente. A aplicação da atualização elimina a vulnerabilidade de injeção de SQL e evita que invasores abusem do tratamento de consultas vulneráveis.
Rahimov também aconselhou as organizações a revisarem o tipo de informação armazenada em seus bancos de dados WordPress.
“Qualquer organização que ainda não o fez deve auditar quais dados de usuário sua instalação do WordPress contém e assumir que eles podem ter sido acessados se estivessem executando uma versão vulnerável”, disse ele.
Por enquanto, o risco vem do grande número de sites que ainda executam versões desatualizadas do plugin, um fato que os atrasos na correção continuam sendo um dos maiores fatores em ataques cibernéticos no mundo real.
Deseja saber mais sobre Segurança Clique Aqui!