SQLi flaw in Elementor Ally plugin impacts 250k+ WordPress sites

plus petit que 1 minute de lecture

Mis à jour : March 11, 2026

Vulnérabilité SQLi critique dans le plugin WordPress “Ally”

Une faille d’injection SQL (SQLi) expose plus de 250 000 sites WordPress utilisant le plugin d’accessibilité “Ally” d’Elementor. Cette vulnérabilité permet à un attaquant non authentifié d’extraire des données sensibles de la base de données via des techniques d’injection à l’aveugle basées sur le temps.

Points clés :

Vulnérabilité : Injection SQL (SQLi) due à une mauvaise gestion des paramètres URL dans la méthode get_global_remediations().
Conditions d’exploitation : Le plugin doit être connecté à un compte Elementor et le module “Remediation” doit être activé.
Impact : Lecture, modification ou suppression d’informations dans la base de données sans authentification.
CVE : CVE-2026-2313.
Versions affectées : Toutes les versions jusqu’à la 4.0.3.

Recommandations :

Mise à jour immédiate : Passer impérativement à la version 4.1.0 du plugin Ally.
Maintenance système : Mettre à jour WordPress vers la version 6.9.2 pour corriger dix autres vulnérabilités critiques (XSS, SSRF, contournement d’autorisation).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

SQLi flaw in Elementor Ally plugin impacts 250k+ WordPress sites

Vulnérabilité SQLi critique dans le plugin WordPress “Ally”

Partager sur

Vous pourriez aimer

Veeam Patches 7 Critical Backup & Replication Flaws Allowing Remote Code Execution

Vulnérabilités critiques dans Veeam Backup & Replication

Storm-2561 Spreads Trojan VPN Clients via SEO Poisoning to Steal Credentials

Campagne de vol d’identifiants VPN par Storm-2561 via SEO Poisoning

Starbucks discloses data breach affecting hundreds of employees

Violation de données chez Starbucks : 889 comptes employés compromis

RIP RegPwn

RegPwn : Élévation de privilèges via les fonctionnalités d’accessibilité Windows