Die Schwachstelle gehört zur Klasse der SQL-Injection-Fehler, die seit über 25 Jahren bekannt sind und trotz vergleichsweise einfacher technischer Behebung weiterhin eine Bedrohung darstellen. Sie entstehen, wenn Nutzereingaben ohne ausreichende Bereinigung oder Parametrisierung direkt in eine Datenbankabfrage übernommen werden. Angreifer können dann SQL-Befehle einschleusen, die das Verhalten der Abfrage verändern und das Lesen, Ändern oder Löschen von Daten ermöglichen.

Laut einer technischen Analyse von WordFence liegt die Ursache in unzureichender Maskierung des vom Nutzer übergebenen URL-Parameters in der Methode get_global_remediations(). Dort werde der Parameter ohne Bereinigung für den SQL-Kontext direkt in eine SQL-JOIN-Klausel eingefügt. Zwar komme die Funktion esc_url_raw() zum Einsatz, die die URL absichere — sie verhindere jedoch nicht, dass SQL-Metazeichen wie einfache Anführungszeichen und Klammern eingeschleust werden.

Dadurch könnten unauthentifizierte Angreifer laut den Forschern zusätzliche SQL-Abfragen an bestehende anhängen und über zeitbasierte Blind-SQL-Injection-Techniken sensible Informationen aus der Datenbank auslesen. WordFence weist darauf hin, dass ein Angriff nur möglich ist, wenn das Plugin mit einem Elementor-Konto verbunden und sein Remediation-Modul aktiv ist.

Die Sicherheitsfirma bestätigte die Lücke und meldete sie am 13. Februar an den Hersteller. Elementor stellte mit Version 4.1.0, veröffentlicht am 23. Februar, einen Fix bereit; dem Entdecker wurde eine Bug-Bounty-Prämie von 800 US-Dollar zugesprochen.

Neben dem Update auf Ally 4.1.0 wird Betreibern und Administratoren empfohlen, auch das jüngste Sicherheitsupdate für WordPress einzuspielen. WordPress 6.9.2 schließt zehn Schwachstellen, darunter Cross-Site-Scripting (XSS), eine Umgehung der Autorisierung sowie Server-Side Request Forgery (SSRF). Die Installation der neuen Version wird als „sofort" durchzuführen empfohlen.