چهارصد هزار سایت وردپرسی در معرض حمله SQL Injection

کمیته رکن چهارم – یک آسیب‌پذیری SQL Injection در افزونه وردپرسی Ally متعلق به Elementor کشف شده است که می‌تواند بدون نیاز به احراز هویت برای سرقت داده‌های حساس از پایگاه داده وب‌سایت مورد سوءاستفاده قرار گیرد.

به گزارش کمیته رکن چهارم، افزونه Ally که برای بهبود دسترسی‌پذیری و قابلیت استفاده وب‌سایت‌ها طراحی شده، در حال حاضر روی بیش از ۴۰۰ هزار سایت وردپرسی نصب شده است.

این آسیب‌پذیری با شناسه CVE-2026-2413 ثبت شده و شدت بالا دریافت کرده است. این نقص توسط Drew Webber (mcdruid)، مهندس امنیت تهاجمی در شرکت Acquia کشف شده است.

بر اساس گزارش‌ها، این آسیب‌پذیری زمانی رخ می‌دهد که ورودی کاربر بدون پاک‌سازی مناسب در یک کوئری SQL قرار می‌گیرد. در نتیجه مهاجم می‌تواند دستورات SQL مخرب را به پایگاه داده تزریق کند و داده‌ها را مشاهده، تغییر یا حذف کند.

ریشه فنی این مشکل در متد get_global_remediations() قرار دارد؛ جایی که یک پارامتر URL ارسال‌شده توسط کاربر مستقیماً در بخش SQL JOIN قرار می‌گیرد بدون آنکه به‌طور کامل برای استفاده در SQL پاک‌سازی شود.

اگرچه در این بخش از تابع esc_url_raw() برای ایمن‌سازی URL استفاده شده، اما این تابع کاراکترهایی مانند علامت نقل‌قول تکی (‘) یا پرانتزها را که می‌توانند در حملات SQL Injection استفاده شوند فیلتر نمی‌کند. به همین دلیل مهاجمان قادرند کوئری‌های اضافی SQL را به کوئری اصلی تزریق کنند.

این حمله معمولاً از طریق Time-based Blind SQL Injection انجام می‌شود تا مهاجم بتواند به‌صورت تدریجی داده‌های حساس را استخراج کند.

طبق گزارش شرکت امنیتی Wordfence، این آسیب‌پذیری تنها زمانی قابل بهره‌برداری است که افزونه Ally به حساب Elementor متصل باشد و ماژول Remediation فعال شده باشد.

این نقص تمام نسخه‌های افزونه تا نسخه ۴٫۰٫۳ را تحت تأثیر قرار می‌دهد. توسعه‌دهندگان این مشکل را در نسخه ۴٫۱٫۰ که در تاریخ ۴ اسفند ۱۴۰۴ (February 23) منتشر شد برطرف کرده‌اند.

با این حال، داده‌های WordPress.org نشان می‌دهد تنها ۳۶ درصد از وب‌سایت‌ها به نسخه اصلاح‌شده به‌روزرسانی کرده‌اند و بیش از ۲۵۰ هزار سایت همچنان در معرض خطر قرار دارند.

به مدیران وب‌سایت‌ها توصیه شده است افزونه Ally را فوراً به نسخه ۴٫۱٫۰ یا بالاتر ارتقا دهند و همچنین آخرین نسخه وردپرس یعنی WordPress 6.9.2 را نصب کنند.

نسخه جدید وردپرس ۱۰ آسیب‌پذیری امنیتی از جمله Cross-Site Scripting (XSS)، Authorization Bypass و Server-Side Request Forgery (SSRF) را برطرف می‌کند.