某知名网页插件被爆高危SQL注入漏洞 威胁40万个网站

知名 WordPress 网页无障碍易用性插件Ally被曝出高危 SQL 注入漏洞。该插件活跃安装量超40 万，巨大的覆盖范围使其成为未授权攻击者窃取敏感数据库的重点目标。

该漏洞编号为CVE-2026-2413，CVSS 评分为 7.5 分。安全研究员 Drew Webber 通过 Wordfence 漏洞悬赏计划发现此漏洞，并在漏洞被引入插件代码仅 5 天后就提交报告，获得800 美元奖励。

漏洞存在于插件的get_global_remediations()方法中：该方法在将 URL 参数拼入数据库查询前，未对其做充分的安全过滤。尽管插件采取了部分防护措施，但仍不足以抵御针对性攻击。

Wordfence 报告指出：即便使用了esc_url_raw()对 URL 做处理，也无法阻止单引号、括号等 SQL 元字符被注入。

由于用户传入的 URL 参数被直接拼接到 SQL JOIN 语句中，缺乏合规净化处理，未授权攻击者可在原有查询语句后追加恶意 SQL 指令，进而从 WordPress 数据库中窃取密码哈希等高敏感数据。

此次漏洞利用方式为时间型盲注（Time-Based blind SQL injection）。该技术复杂但成功率极高，攻击者通过 SQL CASE 语句与SLEEP()函数，根据服务器响应时间逐字节窃取数据。只有启用 Ally 插件中修复模块（Remediation）的网站才会受影响，该模块要求插件绑定 Elementor 账号。尽管受影响范围有所收窄，但插件庞大的安装基数仍使数千网站处于风险之中。

（来源：安全客）