update Atualizado em 12/03/2026, às 18: 42 Uma vulnerabilidade crítica foi descoberta no Ally, plugin gratuito do Word Press voltado para acessibilidade digital .

A brecha permite que qualquer atacante, sem precisar de login ou permissão especial, acesse o banco de dados do site e roube informações sensíveis , incluindo senhas criptografadas.

O problema foi identificado em 4 de fevereiro de 2026 pelo engenheiro de segurança ofensiva Drew Webber, da empresa Acquia, e recebeu a classificação CVE-2026-2413 – com nota 7.

O Ally, anteriormente conhecido como One Click Accessibility , é um plugin que ajuda criadores de sites a construírem páginas mais acessíveis .

Ele oferece um scanner de acessibilidade com sugestões baseadas em inteligência artificial , um widget para visitantes e até um gerador automático de declarações de acessibilidade.

O plugin está ativo em mais de 400 mil sites ao redor do mundo , o que aumenta o alcance da falha.

O problema está na forma como o plugin constrói uma consulta ao banco de dados .

Existe uma função chamada “get_global_remediations()” que usa a URL de uma página para montar uma busca do tipo JOIN no banco de dados.

O erro está em como esse endereço é tratado antes de chegar à consulta .

O plugin aplica uma função chamada “esc_url_raw()” para limpar a URL.

Essa função é útil para garantir que um endereço seja válido do ponto de vista de formatação web.