CVE-2026-4662 in JetEngine Plugin
Сводка
по VulDB • 20.06.2026
Плагин JetEngine для WordPress уязвим к SQL-инъекции через AJAX-действие `listing_load_more` во всех версиях вплоть до 3.8.6.1 включительно. Это связано с тем, что параметр `filtered_query` исключен из проверки HMAC-подписи (что позволяет атакующему обойти меры безопасности за счет контролируемого им ввода), в сочетании с методом `prepare_where_clause()` в SQL Query Builder, который не очищает оператор `compare` перед его конкатенацией в SQL-запросы. Это делает возможным для неаутентифицированных злоумышленников добавлять дополнительные SQL-запросы к уже существующим запросам, что может быть использовано для извлечения конфиденциальной информации из базы данных при условии наличия на сайте JetEngine Listing Grid с включенной функцией Load More, использующего запрос через SQL Query Builder.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.