SchwachstellenHackerangriffeDatenschutz

SQL-Injection-Lücke in Elementor-Plugin gefährdet über 250.000 WordPress-Seiten

SQL-Injection-Lücke in Elementor-Plugin gefährdet über 250.000 WordPress-Seiten
Zusammenfassung

Eine kritische SQL-Injection-Schwachstelle im WordPress-Plugin Ally von Elementor gefährdet über 250.000 Websites weltweit. Das Plugin, das über 400.000 Installationen verzeichnet und Funktionen für Web-Barrierefreiheit und Benutzerfreundlichkeit bietet, weist eine als CVE-2026-2313 klassifizierte Sicherheitslücke auf, die von unauthentifizierten Angreifern ausgenutzt werden kann, um sensible Datenbankeinträge zu stehlen. Die Schwachstelle entsteht durch unzureichende Validierung von Benutzereingaben in der URL-Verarbeitung der `get_global_remediations()`-Methode, wo SQL-Metacharakter nicht korrekt gefiltert werden. Obwohl Elementor die Lücke bereits in Version 4.1.0 vom 23. Februar geschlossen hat, nutzen derzeit nur etwa 36 Prozent der betroffenen Websites die aktualisierte Version. Deutsche Unternehmen und Behörden, die Elementor und das Ally-Plugin einsetzen, sind potentiell gefährdet und sollten umgehend auf die neueste Version aktualisieren. Zusätzlich wird empfohlen, auch WordPress selbst auf Version 6.9.2 zu aktualisieren, die mehrere kritische Sicherheitslücken behebt.

Die entdeckte Sicherheitslücke CVE-2026-2313 im Elementor-Plugin Ally ist das Paradebeispiel für ein altbekanntes, aber immer noch gefährliches Sicherheitsproblem: SQL-Injection. Dieses Angriffsvektoren existiert bereits seit über 25 Jahren und ist technisch einfach zu vermeiden, doch wird es von Entwicklern immer wieder übersehen.

Die Schwachstelle betrifft alle Versionen von Ally bis einschließlich 4.0.3. Sie entsteht durch unzureichende Validierung von Benutzereingaben in der get_global_remediations()-Methode. Ein kritischer Fehler liegt darin vor, dass der URL-Parameter direkt in eine SQL-JOIN-Klausel eingefügt wird, ohne ordnungsgemäße Bereinigung gegen SQL-Metazeichen wie Anführungszeichen oder Klammern.

Obwohl die Funktion esc_url_raw() zur URL-Validierung verwendet wird, reicht dies nicht aus, um SQL-Injektionen zu verhindern. Das ermöglicht Angreifern, mittels Blind-SQL-Injection-Techniken Informationen aus der Datenbank zu extrahieren. Das Besondere: Zur Ausnutzung ist keine Anmeldung notwendig.

Sicherheitsfirma Wordfence weist jedoch darauf hin, dass das Plugin mit einem Elementor-Konto verbunden sein und das Remediation-Modul aktiv sein muss, damit die Lücke ausgenutzt werden kann.

Der Sicherheitsforscher Drew Webber meldete die Schwachstelle am 13. Februar Elementor und erhielt für die Offenlegung ein Bug-Bounty in Höhe von 800 Dollar. Der Hersteller behob das Problem in Version 4.1.0 am 23. Februar.

Das Problem: Von über 400.000 WordPress-Seiten, die das Ally-Plugin nutzen, haben nur etwa 36 Prozent auf die patched Version 4.1.0 aktualisiert. Das bedeutet, dass mehr als 250.000 Websites weiterhin verwundbar sind und zum Ziel von Datendieben werden können.

Website-Betreiber sollten nicht nur Ally sofort auf Version 4.1.0 aktualisieren, sondern auch WordPress selbst auf die neueste Version 6.9.2 bringen. Diese behebt zehn Sicherheitslücken, darunter Cross-Site-Scripting (XSS), Authorization-Bypass und Server-Side-Request-Forgery (SSRF)-Fehler. Die Aktualisierung wird als dringend empfohlen eingestuft. Für deutsche Unternehmen ist dies ein Weckruf: Plugin-Updates sollten nicht als optional behandelt werden.

Ähnliche Artikel