Falha em plugin do WordPress expõe 400 mil sites

Uma falha de segurança em um plugin do WordPress pode ter exposto cerca de 400 mil sites a possíveis ataques cibernéticos. Segundo o site TecMundo, a vulnerabilidade foi identificada no plugin Ally, ferramenta usada para melhorar a acessibilidade de páginas na web.

A brecha permite que invasores acessem o banco de dados de um site sem necessidade de autenticação ou permissões especiais. Com isso, criminosos podem obter informações sensíveis armazenadas na plataforma, incluindo hashes de senhas e dados de usuários.

Falha foi identificada por pesquisador de segurança

O problema foi descoberto em 4 de fevereiro de 2026 pelo engenheiro de segurança ofensiva Drew Webber, da empresa Acquia. A vulnerabilidade recebeu o código CVE-2026-2413 e foi classificada com pontuação 7,5 no sistema de avaliação CVSS, que mede a gravidade de falhas de segurança.

O plugin Ally, anteriormente chamado One Click Accessibility, é utilizado para ajudar desenvolvedores a tornar seus sites mais acessíveis. A ferramenta inclui um scanner de acessibilidade com recomendações baseadas em inteligência artificial (IA), além de um widget para visitantes e um gerador automático de declarações de acessibilidade.

De acordo com as informações divulgadas, o plugin está ativo em mais de 400 mil sites, o que amplia o alcance potencial da vulnerabilidade.

Como a vulnerabilidade pode ser explorada

A falha ocorre na forma como o plugin constrói consultas ao banco de dados do site. Uma função responsável por recuperar dados utiliza a URL da página para montar uma consulta SQL, mas não faz a validação adequada do conteúdo recebido.

Embora o plugin utilize uma função para validar o formato da URL, o método não foi projetado para proteger consultas de banco de dados. Isso permite que caracteres usados em ataques de injeção SQL passem pela filtragem e sejam executados no sistema.

Com essa brecha, um invasor pode usar uma técnica conhecida como "injeção SQL cega baseada em tempo". Nesse método, comandos enviados ao servidor fazem o sistema responder mais lentamente quando determinadas condições são verdadeiras. Ao repetir esse processo várias vezes, o atacante consegue extrair informações do banco de dados gradualmente.

Correção já foi disponibilizada

Após a descoberta, a falha foi reportada por meio do programa de recompensas por bugs da empresa de segurança Wordfence. O pesquisador responsável recebeu US$ 800 pela identificação do problema.

A Wordfence notificou a desenvolvedora do plugin, a Elementor, em 13 de fevereiro de 2026. A empresa confirmou a vulnerabilidade dois dias depois e liberou uma atualização com correção em 23 de fevereiro.

A versão segura do plugin é a 4.1.0. Usuários que utilizam versões até a 4.0.3 permanecem vulneráveis e são orientados a atualizar a ferramenta o mais rápido possível para reduzir os riscos de exploração da falha.