Vulnerabilidad en JetEngine de Crocoblock (CVE-2026-4662)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
24/03/2026
Última modificación:
24/03/2026
Descripción
El plugin JetEngine para WordPress es vulnerable a inyección SQL a través de la acción AJAX 'listing_load_more' en todas las versiones hasta la 3.8.6.1, inclusive. Esto se debe a que el parámetro 'filtered_query' fue excluido de la validación de firma HMAC (lo que permite que la entrada controlada por el atacante omita las comprobaciones de seguridad) combinado con que el método 'prepare_where_clause()' en el Constructor de Consultas SQL no sanitiza el operador 'compare' antes de concatenarlo en sentencias SQL. Esto hace posible que atacantes no autenticados añadan consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información sensible de la base de datos, siempre que el sitio tenga una cuadrícula de listado de JetEngine con Cargar más habilitado que utilice una consulta del Constructor de Consultas SQL.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://crocoblock.com/changelog/?plugin=jet-engine
- https://plugins.trac.wordpress.org/browser/jet-engine/tags/3.8.6.1/includes/components/listings/ajax-handlers.php#L251
- https://plugins.trac.wordpress.org/browser/jet-engine/tags/3.8.6.1/includes/components/query-builder/listings/query.php#L125
- https://plugins.trac.wordpress.org/browser/jet-engine/tags/3.8.6.1/includes/components/query-builder/queries/sql.php#L1038
- https://plugins.trac.wordpress.org/browser/jet-engine/tags/3.8.6.1/includes/components/query-builder/queries/sql.php#L962
- https://www.wordfence.com/threat-intel/vulnerabilities/id/f10cf49b-1b78-43c1-b0d1-c1dbb74d5696?source=cve