CVE-2026-4662 in JetEngine Plugin
Riassunto
di VulDB • 20/06/2026
Il plugin JetEngine per WordPress è vulnerabile a SQL Injection tramite l'azione AJAX `listing_load_more` in tutte le versioni fino alla 3.8.6.1 inclusa. Ciò è dovuto al fatto che il parametro `filtered_query` è escluso dalla convalida della firma HMAC (consentendo all'attaccante di aggirare i controlli di sicurezza con input controllato) combinato con il metodo `prepare_where_clause()` nel SQL Query Builder, che non sanifica l'operatore `compare` prima di concatenarlo alle istruzioni SQL. Ciò rende possibile per gli attaccanti non autenticati aggiungere query SQL aggiuntive alle query già esistenti, che possono essere utilizzate per estrarre informazioni sensibili dal database, purché il sito disponga di un JetEngine Listing Grid con Load More abilitato che utilizza una query del SQL Query Builder.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.