CVE-2026-4662 in JetEngine PluginИнформация

Сводка

по VulDB • 20.06.2026

Плагин JetEngine для WordPress уязвим к SQL-инъекции через AJAX-действие `listing_load_more` во всех версиях вплоть до 3.8.6.1 включительно. Это связано с тем, что параметр `filtered_query` исключен из проверки HMAC-подписи (что позволяет атакующему обойти меры безопасности за счет контролируемого им ввода), в сочетании с методом `prepare_where_clause()` в SQL Query Builder, который не очищает оператор `compare` перед его конкатенацией в SQL-запросы. Это делает возможным для неаутентифицированных злоумышленников добавлять дополнительные SQL-запросы к уже существующим запросам, что может быть использовано для извлечения конфиденциальной информации из базы данных при условии наличия на сайте JetEngine Listing Grid с включенной функцией Load More, использующего запрос через SQL Query Builder.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

Wordfence

Резервировать

23.03.2026

Раскрытие

24.03.2026

Модерация

принято

Вход

VDB-352665

EPSS

0.00322

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!