){kind=link}
Uma vulnerabilidade crítica foi descoberta no Ally, plugin gratuito do WordPress voltado para acessibilidade digital. A brecha permite que qualquer atacante, sem precisar de login ou permissão especial, acesse o banco de dados do site e roube informações sensíveis, incluindo senhas criptografadas.
O problema foi identificado em 4 de fevereiro de 2026 pelo engenheiro de segurança ofensiva Drew Webber, da empresa Acquia, e recebeu a classificação CVE-2026-2413 – com nota 7.5 de gravidade no sistema CVSS.
smart_display
Nossos vídeos em destaque
Como a falha funciona
O Ally, anteriormente conhecido como One Click Accessibility, é um plugin que ajuda criadores de sites a construírem páginas mais acessíveis. Ele oferece um scanner de acessibilidade com sugestões baseadas em inteligência artificial, um widget para visitantes e até um gerador automático de declarações de acessibilidade.
O plugin está ativo em mais de 400 mil sites ao redor do mundo, o que aumenta o alcance da falha.
O problema está na forma como o plugin constrói uma consulta ao banco de dados. Existe uma função chamada “get_global_remediations()” que usa a URL de uma página para montar uma busca do tipo JOIN no banco de dados. O erro está em como esse endereço é tratado antes de chegar à consulta.
O plugin aplica uma função chamada “esc_url_raw()” para limpar a URL. Essa função é útil para garantir que um endereço seja válido do ponto de vista de formatação web. Mas ela não foi criada para proteger consultas de banco de dados. Caracteres como aspas simples e parênteses, que são os ingredientes básicos de um ataque de injeção SQL, passam sem nenhum problema por essa filtragem.
O jeito seguro de fazer isso seria usar a função “wpdb->prepare()”, nativa do WordPress. Ela escapa os dados e os trata como valores, não como parte da lógica da consulta. Sem ela, a URL enviada pelo atacante é colada diretamente dentro do código SQL que será executado no banco.
O que um atacante pode fazer com isso
Com a brecha aberta, um invasor pode usar uma técnica chamada injeção SQL cega baseada em tempo. O atacante manda consultas maliciosas que incluem condições lógicas e comandos de pausa, como SLEEP().
Se o site demorar para responder, significa que a condição testada é verdadeira. Se responder rápido, é falsa. Repetindo isso muitas vezes, o atacante consegue extrair informação bit a bit, sem que o sistema perceba o ataque.
É um processo lento, mas eficaz. E o resultado pode incluir hashes de senhas, dados de usuários e outras informações armazenadas no banco de dados ficam expostos.
Como o problema foi resolvido
Drew Webber reportou a falha de forma responsável pelo programa de recompensas por bugs da Wordfence, recebendo US$ 800 pelo trabalho. A Wordfence notificou o fabricante do plugin, a Elementor, em 13 de fevereiro. A empresa reconheceu o problema dois dias depois e lançou a correção em 23 de fevereiro de 2026.
A solução foi simples tecnicamente: substituir a concatenação direta pela função “wpdb->prepare()” na consulta JOIN.
A versão segura do plugin é a 4.1.0. Todos os usuários com versões até a 4.0.3 estão vulneráveis e devem atualizar o quanto antes.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.