Sicherheitslücke im WordPress-Plugin Ally geschlossen: Nutzer sollten umgehend aktualisieren

Eine SQL-Injection-Schwachstelle im WordPress-Plugin Ally hat potenziell mehr als 400.000 aktive Installationen angreifbar gemacht. Ohne eine Anmeldung war es Angreifern möglich, Datenbankdaten auszulesen – darunter auch Passwort-Hashes. Mit Version 4.1.0 steht seit dem 23. Februar 2026 ein Patch bereit.

Hintergrund und Entdeckung

Die Schwachstelle wurde am 4. Februar 2026 über das Wordfence Bug Bounty Program gemeldet. Nach interner Validierung übermittelte Wordfence am 13. Februar 2026 die vollständigen Details an das Entwicklerteam von Elementor, das das Plugin betreut. Der Anbieter bestätigte den Bericht zwei Tage später und veröffentlichte den Patch innerhalb von acht Tagen.

Technische Einordnung

Betroffen sind alle Versionen des Plugins bis einschließlich 4.0.3. Die Schwachstelle steckte in der Methode get_global_remediations() der Klasse Remediation_Entry:

• Der URL-Parameter wurde direkt in eine SQL-JOIN-Klausel eingebettet, ohne korrekte Bereinigung für den SQL-Kontext
• Die verwendete WordPress-Funktion esc_url_raw() schützt zwar vor ungültigen URLs, verhindert aber nicht das Einschleusen von SQL-Metazeichen wie einfachen Anführungszeichen oder Klammern
• Die WordPress-eigene Funktion wpdb prepare(), die SQL-Abfragen parametrisiert und absichert, kam nicht zum Einsatz

Durch diese Kombination konnten unauthentifizierte Angreifer zusätzliche SQL-Abfragen einschleusen. Konkret war ein zeitbasierter Blind-SQL-Injection-Angriff möglich: Dabei werden SQL-CASE-Anweisungen mit der SLEEP()-Funktion kombiniert, um anhand der Antwortzeiten schrittweise Informationen aus der Datenbank auszulesen.

Einschränkung der Angriffsfläche

Die Schwachstelle war nur dann ausnutzbar, wenn das Remediation-Modul des Plugins aktiv war. Dafür musste das Plugin mit einem Elementor-Konto verknüpft sein – eine Voraussetzung, die nicht bei allen Installationen gegeben ist.

Der Patch

Elementor hat das Problem behoben, indem in der betroffenen JOIN-Anweisung nun wpdb prepare() eingesetzt wird. Damit werden Nutzereingaben korrekt parametrisiert und vor der Datenbankabfrage bereinigt.

Zeitlicher Ablauf auf einen Blick

• 4. Februar 2026 – Eingang der Schwachstellenmeldung über das Wordfence Bug Bounty Program
• 13. Februar 2026 – Validierung des Berichts und Bestätigung des Proof-of-Concept
• 13. Februar 2026 – Übermittlung der vollständigen Details an Elementor
• 15. Februar 2026 – Bestätigung durch den Anbieter, Beginn der Fehlerbeseitigung
• 23. Februar 2026 – Veröffentlichung der gepatchten Version 4.1.0

Handlungsempfehlung

WordPress-Betreiber, die das Plugin Ally einsetzen, sollten prüfen, ob ihre Installation bereits auf Version 4.1.0 aktualisiert wurde. Das Update steht über das reguläre WordPress-Plugin-Verzeichnis zur Verfügung.

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk