Ally 是 Elementor 開發的 WordPress 插件，用於提升網頁可訪問性和易用性，安裝量超過 40 萬次。該插件存在 SQL 注入漏洞，攻擊者可以利用該漏洞在未經身份驗證的情況下竊取敏感資料。

此安全問題編號為 CVE-2026-2313，嚴重性評分很高。這使得攻擊者可以注入 SQL 命令，從而改變查詢的行為，以讀取、修改或刪除資料庫中的資訊。CVE-2026-2313 影響 Ally 4.0.3 及更早版本的所有版本，由於關鍵函數中對使用者提供的 URL 參數處理不當，未經驗證的攻擊者可以透過 URL 路徑注入 SQL 查詢。

SQL注入漏洞已經存在超過25年，儘管人們對其了解甚多，技術上也易於修復和規避，但時至今日它仍然構成威脅。這類安全性問題發生在使用者輸入未經適當清理或參數化處理的情況下，直接將其插入SQL資料庫查詢語句時。

來自WordPress.org的數據顯示，使用 Ally 外掛程式的網站中只有約 36% 升級到了 4.1.0 版本，超過 250,000 個網站仍然容易受到 CVE-2026-2313 的攻擊。除了將 Ally 升級到 4.1.0 版本外，還建議網站所有者/管理員安裝昨天發布的 WordPress 最新安全性更新。

WordPress 6.9.2 修正了 10 個漏洞，包括跨站請求 (XSS)、授權繞過和伺服器端請求偽造 (SSRF) 漏洞。建議“立即”安裝新版本平台。

資料來源：https://www.bleepingcomputer.com/news/security/sqli-flaw-in-elementor-ally-plugin-impacts-250k-plus-wordpress-sites/