- Ally WordPressプラグインはSQL注入の欠陥を持っていた(CVE-2026-2413)
- 脆弱性により約246,600サイトがデータ盗難にさらされた
- バージョン4.1.0で修正。WordPressは即座の更新を促している
数十万のアクティブなインストールを持つ人気のあるWordPressプラグインは、悪質な行為者がWebサイトから機密データを盗むことを可能にする重大度の高い脆弱性を持っていたと、専門家は警告しています。
AllyはElementorのWebアクセシビリティツールであり、2025年11月にリリースされました。これはアクセシビリティの問題を識別するだけでなく、ソリューションを提供し、Webadminにそれらを適用するプロセスをガイドするツールです。
しかし、AcquiaのセキュリティリサーチャーDrew Webberによると、AllyはSQL注入の脆弱性を持っており、認証されていない攻撃者が適切なサニタイゼーションなしにSQLデータベースにデータを送信できます。
記事は以下に続く
数千の脆弱なWebサイト
「これにより、認証されていない攻撃者が既存のクエリに追加のSQLクエリを追加することが可能になり、時間ベースのブラインドSQL注入技術を使用してデータベースから機密情報を抽出するために使用できます」と、Webberは述べました。
このバグはCVE-2026-2413として追跡され、重大度スコアが7.5/10(高)が与えられました。バージョン4.0.3までのすべてのバージョンに影響し、2月23日にバージョン4.1.0を通じて修正されました。
WordPress.orgのWebサイトを見ると、現在40万以上のアクティブなインストールがあり、38.4%(153,600)が最新バージョンを実行しています。これにより、約246,600の脆弱なWebサイトが残されます。
WordPressは一般的に安全なウェブサイトビルダープラットフォームと考えられており、脆弱性の大多数はサードパーティのプラグインとテーマから発生しています。これが、ほとんどのセキュリティ専門家がユーザーに使用しているプラグインとテーマのみを保持し、それらが常に更新されることを確認することをお勧めする理由です。
Allyをアップグレードするほかに、ユーザーはプラットフォーム自体もアップグレードする必要があります。最近、最新のセキュリティアップデートをリリースしており、WordPress 6.9.2はクロスサイトリクエスト(XSS)の欠陥、認可バイパスの脆弱性、およびサーバー側の偽造リクエスト(SSRF)のバグを含む10の脆弱性を修正しました。
WordPressは顧客に最新バージョンを「すぐに」インストールするよう促しています。
もちろん、あなたもTikTokでTechRadarをフォローしてニュース、レビュー、動画でのアンボックスを取得でき、WhatsAppからも定期的な最新情報を受け取ります。
