CVE-2026-4662WordPress JetEngine插件3.8.6.1及之前版本存在SQL注入漏洞。由于`listing_load_more`动作未对`filtered_query`参数进行HMAC验证,且`prepare_where_clause`方法未清理`compare`操作符,未经认证的攻击者可利用此漏洞构造恶意SQL语句,从数据库中窃取敏感信息。
该漏洞核心在于JetEngine插件对参数验证的不严格及SQL拼接的不规范。首先,`listing_load_more` AJAX处理程序虽然使用了HMAC签名机制保护参数,但关键的`filtered_query`参数被意外排除在验证范围之外,导致攻击者可以篡改该数据而不被服务器拒绝。其次,在SQL查询构建阶段,`prepare_where_clause()`方法直接获取用户输入的`compare`字段值并将其拼接到SQL WHERE子句中,缺乏对特殊字符或SQL关键字的转义和白名单校验。攻击者可以构造包含恶意SQL代码的`compare`值(例如`' OR SLEEP(5)--`),将其注入到原本的查询语句中。由于无需身份认证(PR:N),攻击者可直接向`/wp-admin/admin-ajax.php`发送POST请求触发漏洞,执行任意SQL查询以提取用户凭证或其他敏感数据。