Las comillas lo deciden todo. Cómo una comprobación olvidada en el código comprometió a un cuarto de millón de propietarios de sitios web.
Una enorme audiencia en línea quedó totalmente desprotegida.
Una vulnerabilidad en el popular complemento Ally para WordPress, desarrollado por la empresa Elementor, puso en riesgo a cientos de miles de sitios web. El fallo permite a atacantes acceder a datos sin autorización mediante la inyección de consultas SQL.
El problema fue descubierto por el ingeniero de seguridad ofensiva Drew Webber de la empresa Acquia. La vulnerabilidad recibió el identificador CVE-2026-2413 y una calificación de alto riesgo. El complemento Ally está destinado a mejorar la accesibilidad y la usabilidad de sitios en WordPress y está instalado en más de 400.000 recursos.
El fallo afecta a todas las versiones del complemento hasta la 4.0.3 inclusive. Un atacante puede enviar una URL especialmente manipulada e inyectar una consulta SQL en la base de datos del sitio. La causa está relacionada con el manejo incorrecto del parámetro de URL proporcionado por el usuario en la función get_global_remediations(). El valor del parámetro se añade a la consulta SQL sin una validación adecuada, lo que abre la puerta a la inyección de comandos maliciosos.
Los especialistas de Wordfence explican que la función esc_url_raw() verifica la validez de la URL, pero no bloquea los metacaracteres SQL, incluidas las comillas y los paréntesis. Gracias a ello, el atacante puede alterar la estructura de la consulta y extraer datos de la base. Para robar información se emplea la llamada inyección SQL ciega mediante el análisis del tiempo de respuesta del servidor.
La explotación de la vulnerabilidad es posible solo bajo ciertas condiciones. El complemento debe estar conectado a una cuenta de Elementor y debe estar activo el módulo Remediation. El equipo de Wordfence confirmó el problema y notificó a los desarrolladores el 13 de febrero. La empresa Elementor publicó una corrección el 23 de febrero en la versión 4.1.0 y pagó a Drew Webber una recompensa de 800 dólares por el error encontrado.
Según WordPress.org, solo alrededor del 36 por ciento de los sitios ha instalado la actualización. Más de 250.000 recursos siguen utilizando versiones vulnerables de Ally. Se recomienda a los administradores de sitios que instalen con urgencia la versión Ally 4.1.0.
Además, los desarrolladores aconsejan actualizar la propia plataforma WordPress. La reciente actualización WordPress 6.9.2 corrige diez problemas de seguridad, incluidos ataques de ejecución de scripts entre sitios y eludir mecanismos de autorización, así como una vulnerabilidad en las solicitudes del servidor.