🔍 安全洞察
WordPress 插件安全漏洞再次敲响警钟。Ally 插件的 SQL 注入漏洞影响超过 40 万个网站,CVE 评分 7.5 分,属于高危漏洞。
点小安观点:WordPress 生态系统的安全问题是老生常谈,但如此大规模影响的插件漏洞仍然值得高度重视。建议立即升级到 4.1.0 版本。
漏洞概况
知名 WordPress 网页无障碍易用性插件 Ally 被曝出高危 SQL 注入漏洞。该插件活跃安装量超 40 万 。
漏洞详情
漏洞编号:CVE-2026-2413,CVSS 评分:7.5 分(高危)
漏洞存在于插件的 get_global_remediations() 方法中,未对 URL 参数做充分的安全过滤。
攻击方式
时间型盲注(Time-Based Blind SQL Injection),可窃取密码哈希等高敏感数据。
修复方案
尽快将 Ally 插件升级至 4.1.0 版 。
⚠️ 声明
分享到:
