Katalog CVE

CVE-2026-12360

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.41%

Percentyl 33 — wyżej niż 33% wszystkich znanych CVE

Streszczenie

Wtyczka JetEngine dla WordPressa jest podatna na atak SQL injection we wszystkich wersjach do i włącznie z 3.8.10.1. Handler AJAX listing_load_more akceptuje parametr filtered_query, który nie jest weryfikowany w podpisie HMAC, co pozwala na wstrzyknięcie złośliwego kodu SQL.

Ocena ryzyka

Atakujący bez uwierzytelnienia może wykorzystać tę podatność do przeprowadzenia ataków SQL injection, co może prowadzić do ujawnienia danych lub kompromitacji bazy danych.

Rekomendacja

Zaleca się aktualizację wtyczki JetEngine do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych luk.

Oryginalny opis (angielski, źródło NVD)

The JetEngine plugin for WordPress is vulnerable to SQL injection in all versions up to and including 3.8.10.1. The listing_load_more AJAX handler accepts a filtered_query parameter that is intentionally excluded from the HMAC query signature check to support front-end filter integration. However, meta_query row values within filtered_query are not sanitized before being merged into SQL construction. This makes it possible for unauthenticated attackers to perform time-based or boolean blind SQL injection by appending a malicious meta_query value to a Load More AJAX request captured from any public Listing Grid page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS