Alerta Crítico: Falha de SQL Injection no Plugin Ally Ameaça Mais de 400 Mil Sites WordPress com Exposição de Dados
Pesquisadores de segurança descobriram uma vulnerabilidade grave em um popular plugin de acessibilidade, expondo informações confidenciais; atualização urgente é fundamental.
Uma vulnerabilidade crítica foi recentemente descoberta em um plugin amplamente utilizado na plataforma WordPress, colocando em risco mais de 400 mil sites globalmente. A falha, identificada como uma injeção de SQL não autenticada, afeta o Ally, uma ferramenta de acessibilidade que auxilia na criação de páginas web mais inclusivas, oferecendo recursos como sugestões de inteligência artificial (IA) e um gerador automático de declarações de acessibilidade.
Detalhes da Vulnerabilidade no Ally
Detectada em fevereiro por um pesquisador de segurança da empresa Acquia, a falha reside em uma verificação insegura na consulta de assinantes do Ally. O plugin utiliza um parâmetro de URL sem empregar a função “wpdb->prepare()” do WordPress, que é essencial para parametrizar solicitações e prevenir ataques. Essa omissão abre uma brecha para que agentes maliciosos injetem códigos SQL perigosos, comprometendo o processo legítimo do banco de dados.
Risco de Extração de Dados Confidenciais
A principal preocupação com esta vulnerabilidade é a capacidade de criminosos extraírem, de forma gradual, informações confidenciais diretamente do banco de dados dos sites afetados. Dados sensíveis, como hashes de senhas, podem ser comprometidos, resultando em sérios prejuízos para as vítimas. A natureza não autenticada da injeção de SQL significa que o ataque pode ser executado sem a necessidade de credenciais de login, tornando-o ainda mais perigoso.
Correção Já Disponível: Atualização Urgente
Após a notificação da Acquia, a equipe de desenvolvedores do Ally agiu rapidamente para corrigir a falha. A vulnerabilidade afetava todas as versões do plugin até a 4.0.3, e uma correção foi prontamente lançada na versão 4.1.0. A recomendação é clara e urgente: todos os usuários do plugin Ally devem atualizar seus sistemas para a versão 4.1.0 imediatamente para evitar a exploração desta falha crítica e proteger a integridade de seus sites e dados.
Fonte: canaltech.com.br