Le plugin Elementor Ally expose une faille critique d'injection SQL
Une vulnérabilité critique d'injection SQL découverte dans le plugin Ally de WordPress d'Elementor menace plus de 400 000 installations de sites web. La faille permet aux attaquants d'extraire des informations sensibles de la base de données sans nécessiter de justificatifs d'authentification.
Ally est le plugin d'accessibilité et d'utilisabilité d'Elementor conçu pour aider les sites web à se conformer aux normes d'accessibilité web. La vulnérabilité a été identifiée dans les mécanismes de gestion des requêtes de base de données du plugin.
Plus de 400 000 sites WordPress en danger
Tous les sites WordPress utilisant le plugin Elementor Ally sont vulnérables à cette attaque d'injection SQL. La popularité du plugin dans le domaine de l'accessibilité signifie que l'exposition s'étend à divers types de sites web, y compris les sites d'entreprise, les plateformes de commerce électronique et les portails gouvernementaux.
Les attaquants peuvent exploiter cette faille à distance sans avoir besoin de comptes utilisateurs ou de permissions spéciales sur les sites cibles. La nature non authentifiée la rend particulièrement dangereuse pour une exploitation massive automatisée.
Mise à jour immédiate du plugin requise
Les administrateurs de sites web doivent mettre à jour le plugin Ally immédiatement pour corriger cette vulnérabilité critique. La faille d'injection SQL pourrait permettre aux attaquants de vider des bases de données entières contenant des identifiants d'utilisateur, des informations personnelles et des données commerciales.
Les propriétaires de sites devraient vérifier leurs panneaux d'administration WordPress pour les mises à jour disponibles du plugin Ally et les appliquer sans délai. Ceux qui ne peuvent pas mettre à jour immédiatement devraient envisager de désactiver temporairement le plugin jusqu'à ce que le correctif soit appliqué.
