heise PlusAbo
Anzeige
Alert!

Sicherheitslücke in „Ally“ WordPress Plugin gefährdet 400.000 Websites

Angreifer können über eine Schwachstelle im WordPress-Plugin „Ally“ eigene Befehle ausführen. Admins sollten den Sicherheitspatch installieren.

vorlesen Druckansicht
Ein symbolischer Updateknopf auf einer Tastatur.

(Bild: Tatiana Popova/Shutterstock.com)

Lesezeit: 1 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Aufgrund einer Sicherheitslücke können Angreifer WordPress-Websites, auf denen das Plugin „Ally – Web Accessibility & Usability“ installiert ist, attackieren. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen.

Über die Schwachstelle (CVE-2026-2413, Risiko „hoch“) berichten Sicherheitsforscher von Wordfence in einem Beitrag. Aufgrund von unzureichenden Überprüfungen können Angreifer ohne Authentifizierung über präparierte URLs eigene SQL-Befehle ausführen. Klappt eine solche Attacke, haben Angreifer Zugriff auf eigentlich abgeschottete Daten wie Passwort-Hashes.

Videos by heise

Wie aus der Plugin-Website hervorgeht, weist Ally 400.000 aktive Installationen auf. Diese Websites sind potenziell angreifbar. Die Entwickler versichern, die Lücke in Ally – Web Accessibility & Usability 4.1.0 geschlossen zu haben. Davon sollen alle Ausgaben bis inklusive 4.0.3 bedroht sein.

Die Sicherheitsforscher geben an, dass die Schwachstelle Anfang Februar über ihr Bug-Bounty-Programm gemeldet wurde. Das Sicherheitsupdate haben die Entwickler dann Ende Februar veröffentlicht.

(des)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten