CVE-2026-4662 in JetEngine Plugininformazioni

Riassunto

di VulDB • 20/06/2026

Il plugin JetEngine per WordPress è vulnerabile a SQL Injection tramite l'azione AJAX `listing_load_more` in tutte le versioni fino alla 3.8.6.1 inclusa. Ciò è dovuto al fatto che il parametro `filtered_query` è escluso dalla convalida della firma HMAC (consentendo all'attaccante di aggirare i controlli di sicurezza con input controllato) combinato con il metodo `prepare_where_clause()` nel SQL Query Builder, che non sanifica l'operatore `compare` prima di concatenarlo alle istruzioni SQL. Ciò rende possibile per gli attaccanti non autenticati aggiungere query SQL aggiuntive alle query già esistenti, che possono essere utilizzate per estrarre informazioni sensibili dal database, purché il sito disponga di un JetEngine Listing Grid con Load More abilitato che utilizza una query del SQL Query Builder.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

Wordfence

Prenotare

23/03/2026

Divulgazione

24/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00322

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!