Descoberta e escopo
Uma vulnerabilidade de injeção de SQL (SQLi) foi identificada no plugin Ally, desenvolvido pela Elementor, uma das ferramentas mais populares para construção de sites em WordPress. A falha, que permite a roubo de dados sensíveis sem autenticação, impacta mais de 250 mil instalações, segundo estimativas iniciais.
O plugin Ally é focado em acessibilidade e usabilidade web, mas a falha de segurança expõe a base de dados do site a ataques diretos. A natureza da vulnerabilidade permite que atacantes executem consultas maliciosas no banco de dados, potencialmente extraindo informações de usuários, configurações do site e dados sensíveis.
Impacto e alcance
Com mais de 250 mil sites afetados, o alcance deste incidente é significativo, especialmente considerando a popularidade do WordPress no mercado brasileiro e global. A falta de necessidade de autenticação para explorar a falha aumenta o risco, pois qualquer visitante mal-intencionado pode tentar a exploração.
Desenvolvedores e administradores de sites que utilizam o plugin Ally devem atualizar imediatamente para a versão corrigida. A ausência de patches pode deixar os sites expostos a ataques de exfiltração de dados, o que pode violar regulamentações de proteção de dados como a LGPD.
Recomendações
Além da atualização, recomenda-se a revisão de logs de acesso e a implementação de medidas de segurança adicionais, como Web Application Firewalls (WAF). A verificação de integridade de arquivos e o monitoramento de atividades suspeitas no banco de dados são práticas recomendadas para mitigar riscos de exploração.