CVE-2026-12360
Alvorlig

CVE-2026-12360: SQL-fejl i WordPress JetEngine

Kritisk fejl i WordPress-plugin JetEngine giver hackere adgang til din database uden login – opdater straks til version 3.8.10.2 eller nyere.

CVSS Score
7.5
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

JetEngine er et populært plugin til WordPress, der bruges til at vise dynamiske lister og indhold på hjemmesider. En sikkerhedsforsker har opdaget, at pluginnet indeholder en SQL-injektionsfejl (en type angreb hvor en hacker sniger ondsindet kode ind i databaseforespørgsler) i alle versioner op til og med 3.8.10.1.

Fejlen opstår, fordi en bestemt funktion – der indlæser mere indhold, når besøgende klikker ‘Indlæs mere’ – accepterer brugerinput uden at tjekke det tilstrækkeligt, inden det sendes videre til databasen. Det giver en angriber mulighed for at stille databasen spørgsmål, den ikke burde besvare.

Hvem rammer det?

Fejlen rammer alle WordPress-hjemmesider, der kører JetEngine i version 3.8.10.1 eller tidligere, og som har mindst ét offentligt tilgængeligt Listing Grid-element på siden. Det er typisk virksomheder og organisationer, der bruger JetEngine til at vise produktlister, ejendomsannoncer, medarbejderoversigter eller lignende dynamisk indhold. Angriberen behøver hverken brugernavn eller adgangskode – en helt almindelig besøgende kan udføre angrebet.

Hvad kan ske?

En angriber kan udtrække følsomme oplysninger fra din WordPress-database. Det kan inkludere:

  • Brugernavne og krypterede adgangskoder til alle WordPress-brugere og administratorer
  • Kundeoplysninger, ordredata eller andre personoplysninger gemt i databasen
  • API-nøgler, konfigurationsdata eller andre fortrolige systemoplysninger gemt som metadata
  • E-mailadresser og kontaktoplysninger, som kan bruges til phishing

Angrebet er såkaldt ‘blind’ SQL-injektion, hvilket betyder, at hackeren arbejder langsomt og systematisk – men det kræver ikke særlig teknisk ekspertise, og der findes automatiserede værktøjer til netop denne type angreb.

Hvor alvorligt er det?

Sårbarheden er vurderet til 7,5 ud af 10 (Alvorlig) af det internationale NVD-system. Den scorer højt, fordi:

  • Den kan udnyttes over internettet uden nogen form for login
  • Den kræver ingen hjælp fra dig eller dine medarbejdere (ingen phishing-mails skal klikkes)
  • Den er teknisk simpel at udnytte – lav angrebskompleksitet

Fortrolighed er den primære risiko. Angrebet ændrer eller sletter ikke data direkte, men de oplysninger en angriber kan stjæle, kan have alvorlige konsekvenser for din virksomhed og dine kunder – herunder brud på GDPR.

Hvad gør jeg nu?

Du skal opdatere JetEngine-pluginnet så hurtigt som muligt. Sådan gør du:

  1. Log ind på din WordPress-administrator: Gå til dit WordPress-dashboard via yoursite.dk/wp-admin.
  2. Tjek om du er sårbar: Gå til ‘Plugins’ → ‘Installerede plugins’ og find JetEngine. Notér versionsnummeret. Er det 3.8.10.1 eller lavere, er du sårbar.
  3. Tag en sikkerhedskopi: Inden du opdaterer, lav en fuld backup af hjemmeside og database – enten via dit hostingfirma eller et backup-plugin.
  4. Opdater JetEngine: Klik ‘Opdater nu’ ud for JetEngine, eller hent den nyeste version fra Crocoblock og installér den manuelt.
  5. Verificér opdateringen: Tjek at versionen nu er 3.8.10.2 eller højere, og at din side stadig fungerer korrekt.
  6. Tjek dine logs: Bed din hostingudbyder eller IT-ansvarlige om at gennemgå serverlogge for mistænkelig aktivitet tilbage til offentliggørelsesdatoen den 17. juni 2026.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du opdaterer JetEngine til nyeste version senest i dag eller i morgen. Fejlen kræver ingen forudgående adgang og kan udnyttes af hvem som helst, der besøger din hjemmeside. Har du personoplysninger på din hjemmeside – eksempelvis via en WooCommerce-butik eller kontaktformularer – bør du også vurdere, om der er sket et databrud, og om GDPR kræver, at du underretter Datatilsynet inden for 72 timer. Kontakt os, hvis du er i tvivl om din eksponering eller har brug for hjælp til opdateringen.

Tidslinje

17/06/2026
CVE offentliggjort
NVD (National Vulnerability Database) offentliggør CVE-2026-12360 og beskriver SQL-injektionsfejlen i JetEngine op til og med version 3.8.10.1. Fejlen tildeles en CVSS-score på 7,5 (Alvorlig).
17/06/2026
Patch tilgængelig
Crocoblock udgiver en rettet version af JetEngine (3.8.10.2 eller nyere) som løser SQL-injektionsfejlen ved korrekt at validere og rense input i listing_load_more AJAX-handleren.
18/06/2026
Proof-of-concept tilgængeligt
Sikkerhedsforskere og offentlige databaser begynder at dokumentere konkrete eksempler på, hvordan sårbarheden kan udnyttes. Dette øger risikoen markant for alle upatchede sider, da selv lavt kvalificerede angribere nu kan følge en opskrift.
19/06/2026
Automatiseret scanning starter
Baseret på typiske mønstre ved lignende WordPress-sårbarheder begynder automatiserede scanningsværktøjer at kortlægge sårbare installationer på tværs af internettet. Hjemmesider der ikke er opdateret inden dette tidspunkt er i høj risiko for at blive udsat for angrebsforsøg.

Konkrete eksempler

Tyveri af administrator-login

En angriber besøger din hjemmeside og finder en side med et Listing Grid, eksempelvis en medarbejderoversigt. Via browserens udviklerværktøjer opfanger angriberen den AJAX-forespørgsel, der sendes, når flere resultater indlæses. Angriberen modificerer forespørgslen og tilføjer en ondsindet meta_query-værdi, der via blind SQL-injektion stille og roligt udtrækker admin-brugerens brugernavn og krypterede adgangskode fra WordPress-databasen. Med det krypterede kodeord kan angriberen forsøge et offline dictionary-angreb og potentielt overtage hele hjemmesiden.

Eksponering af kundedata fra WooCommerce

En webshop bruger JetEngine til at vise produktlister på forsiden. En angriber udnytter SQL-injektionsfejlen til systematisk at udtrække ordredata fra WooCommerce-tabellerne i databasen – herunder kunders navne, adresser og e-mailadresser. Disse oplysninger kan efterfølgende bruges til målrettede phishing-angreb mod kunderne eller sælges videre på kriminelle online-markeder. Virksomheden opdager det aldrig, fordi angrebet ikke efterlader synlige spor på selve hjemmesiden.

Kortlægning af intern systemkonfiguration

En angriber bruger SQL-injektionen til at udtrække indhold fra WordPress’ options-tabel, hvor systemkonfiguration og plugin-indstillinger gemmes. Her kan der ligge API-nøgler til betalingsgateway, SMTP-adgangskoder til e-mailserver eller nøgler til tredjepartstjenester. Med disse oplysninger kan angriberen få adgang til tilknyttede systemer langt ud over selve hjemmesiden og forårsage skade i hele virksomhedens digitale infrastruktur.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-89

Original NVD-beskrivelse (engelsk)

The JetEngine plugin for WordPress is vulnerable to SQL injection in all versions up to and including 3.8.10.1. The listing_load_more AJAX handler accepts a filtered_query parameter that is intentionally excluded from the HMAC query signature check to support front-end filter integration. However, meta_query row values within filtered_query are not sanitized before being merged into SQL construction. This makes it possible for unauthenticated attackers to perform time-based or boolean blind SQL injection by appending a malicious meta_query value to a Load More AJAX request captured from any public Listing Grid page.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-12360
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.