Security

Kerentanan SQL Injection pada Plugin Elementor Ally Ancam Lebih dari 250 Ribu Situs WordPress

March 12, 2026
2 minutes read

Sebuah kerentanan SQL injection ditemukan pada plugin Ally, plugin WordPress dari Elementor yang digunakan untuk meningkatkan aksesibilitas dan kegunaan situs web. Celah keamanan ini berpotensi memengaruhi lebih dari 250.000 situs WordPress yang belum melakukan pembaruan.

Plugin Ally sendiri memiliki lebih dari 400.000 instalasi aktif, sehingga kerentanan ini menjadi ancaman serius bagi banyak situs yang menggunakan ekosistem Elementor.

Kerentanan Tanpa Autentikasi

Kerentanan ini dilacak sebagai CVE-2026-2413 dan dikategorikan sebagai celah keamanan dengan tingkat high severity.

Masalah tersebut ditemukan oleh Drew Webber (mcdruid), seorang insinyur keamanan ofensif dari perusahaan Acquia yang menyediakan platform Digital Experience Platform (DXP) untuk perusahaan.

Celah ini memungkinkan penyerang melakukan SQL injection tanpa autentikasi, sehingga mereka dapat mengekstrak data sensitif langsung dari database situs yang rentan.

SQL Injection Masih Menjadi Ancaman Lama

SQL injection merupakan jenis kerentanan keamanan yang telah dikenal selama lebih dari 25 tahun.

Masalah ini terjadi ketika input dari pengguna dimasukkan langsung ke dalam query database tanpa proses sanitasi atau parameterisasi yang benar.

Akibatnya, penyerang dapat menyisipkan perintah SQL tambahan yang memungkinkan mereka untuk:

  • Membaca data dari database
  • Memodifikasi informasi
  • Menghapus data penting

Penyebab Kerentanan pada Plugin Ally

Kerentanan CVE-2026-2413 memengaruhi seluruh versi plugin Ally hingga versi 4.0.3.

Masalah ini muncul karena penanganan parameter URL yang tidak aman dalam fungsi get_global_remediations().

Parameter URL yang diberikan pengguna digabungkan langsung ke dalam klausa SQL JOIN tanpa proses sanitasi yang memadai.

Walaupun fungsi esc_url_raw() digunakan untuk memastikan keamanan URL, fungsi tersebut tidak dirancang untuk mencegah karakter SQL khusus seperti tanda kutip atau tanda kurung.

Akibatnya, penyerang dapat menyisipkan perintah SQL tambahan menggunakan teknik time-based blind SQL injection untuk mengambil informasi dari database.

Eksploitasi Memerlukan Modul Remediation Aktif

Menurut analisis dari Wordfence, eksploitasi kerentanan ini hanya dapat dilakukan jika dua kondisi terpenuhi:

  • Plugin Ally terhubung dengan akun Elementor
  • Modul Remediation pada plugin aktif

Jika kedua kondisi tersebut terpenuhi, penyerang dapat memanfaatkan celah ini untuk mengekstrak data dari database situs.

Patch Telah Dirilis

Kerentanan ini dilaporkan kepada pengembang pada 13 Februari 2026, dan Elementor merilis perbaikan melalui versi 4.1.0 pada 23 Februari 2026.

Peneliti yang menemukan celah tersebut menerima bug bounty sebesar 800 dolar AS atas temuannya.

Namun data dari WordPress.org menunjukkan bahwa baru sekitar 36% situs yang menggunakan plugin Ally telah melakukan pembaruan ke versi terbaru.

Artinya, lebih dari 250.000 situs WordPress masih berpotensi rentan terhadap eksploitasi CVE-2026-2413.

WordPress Juga Merilis Update Keamanan

Selain memperbarui plugin Ally, administrator situs juga disarankan untuk menginstal pembaruan keamanan terbaru dari WordPress.

Versi terbaru WordPress 6.9.2 telah dirilis untuk memperbaiki 10 kerentanan keamanan, termasuk:

  • Cross-site scripting (XSS)
  • Authorization bypass
  • Server-side request forgery (SSRF)

Pengembang WordPress merekomendasikan agar pembaruan tersebut segera diinstal untuk mengurangi risiko serangan.

Tags
March 12, 2026
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button