CVE-2026-12360: SQL-fejl i WordPress JetEngine
Kritisk fejl i WordPress-plugin JetEngine giver hackere adgang til din database uden login – opdater straks til version 3.8.10.2 eller nyere.
Hvad er det?
JetEngine er et populært plugin til WordPress, der bruges til at vise dynamiske lister og indhold på hjemmesider. En sikkerhedsforsker har opdaget, at pluginnet indeholder en SQL-injektionsfejl (en type angreb hvor en hacker sniger ondsindet kode ind i databaseforespørgsler) i alle versioner op til og med 3.8.10.1.
Fejlen opstår, fordi en bestemt funktion – der indlæser mere indhold, når besøgende klikker ‘Indlæs mere’ – accepterer brugerinput uden at tjekke det tilstrækkeligt, inden det sendes videre til databasen. Det giver en angriber mulighed for at stille databasen spørgsmål, den ikke burde besvare.
Hvem rammer det?
Fejlen rammer alle WordPress-hjemmesider, der kører JetEngine i version 3.8.10.1 eller tidligere, og som har mindst ét offentligt tilgængeligt Listing Grid-element på siden. Det er typisk virksomheder og organisationer, der bruger JetEngine til at vise produktlister, ejendomsannoncer, medarbejderoversigter eller lignende dynamisk indhold. Angriberen behøver hverken brugernavn eller adgangskode – en helt almindelig besøgende kan udføre angrebet.
Hvad kan ske?
En angriber kan udtrække følsomme oplysninger fra din WordPress-database. Det kan inkludere:
- Brugernavne og krypterede adgangskoder til alle WordPress-brugere og administratorer
- Kundeoplysninger, ordredata eller andre personoplysninger gemt i databasen
- API-nøgler, konfigurationsdata eller andre fortrolige systemoplysninger gemt som metadata
- E-mailadresser og kontaktoplysninger, som kan bruges til phishing
Angrebet er såkaldt ‘blind’ SQL-injektion, hvilket betyder, at hackeren arbejder langsomt og systematisk – men det kræver ikke særlig teknisk ekspertise, og der findes automatiserede værktøjer til netop denne type angreb.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7,5 ud af 10 (Alvorlig) af det internationale NVD-system. Den scorer højt, fordi:
- Den kan udnyttes over internettet uden nogen form for login
- Den kræver ingen hjælp fra dig eller dine medarbejdere (ingen phishing-mails skal klikkes)
- Den er teknisk simpel at udnytte – lav angrebskompleksitet
Fortrolighed er den primære risiko. Angrebet ændrer eller sletter ikke data direkte, men de oplysninger en angriber kan stjæle, kan have alvorlige konsekvenser for din virksomhed og dine kunder – herunder brud på GDPR.
Hvad gør jeg nu?
Du skal opdatere JetEngine-pluginnet så hurtigt som muligt. Sådan gør du:
- Log ind på din WordPress-administrator: Gå til dit WordPress-dashboard via yoursite.dk/wp-admin.
- Tjek om du er sårbar: Gå til ‘Plugins’ → ‘Installerede plugins’ og find JetEngine. Notér versionsnummeret. Er det 3.8.10.1 eller lavere, er du sårbar.
- Tag en sikkerhedskopi: Inden du opdaterer, lav en fuld backup af hjemmeside og database – enten via dit hostingfirma eller et backup-plugin.
- Opdater JetEngine: Klik ‘Opdater nu’ ud for JetEngine, eller hent den nyeste version fra Crocoblock og installér den manuelt.
- Verificér opdateringen: Tjek at versionen nu er 3.8.10.2 eller højere, og at din side stadig fungerer korrekt.
- Tjek dine logs: Bed din hostingudbyder eller IT-ansvarlige om at gennemgå serverlogge for mistænkelig aktivitet tilbage til offentliggørelsesdatoen den 17. juni 2026.
Opdater inden for 24-48 timer
Vi anbefaler, at du opdaterer JetEngine til nyeste version senest i dag eller i morgen. Fejlen kræver ingen forudgående adgang og kan udnyttes af hvem som helst, der besøger din hjemmeside. Har du personoplysninger på din hjemmeside – eksempelvis via en WooCommerce-butik eller kontaktformularer – bør du også vurdere, om der er sket et databrud, og om GDPR kræver, at du underretter Datatilsynet inden for 72 timer. Kontakt os, hvis du er i tvivl om din eksponering eller har brug for hjælp til opdateringen.
Tidslinje
Konkrete eksempler
Tyveri af administrator-login
En angriber besøger din hjemmeside og finder en side med et Listing Grid, eksempelvis en medarbejderoversigt. Via browserens udviklerværktøjer opfanger angriberen den AJAX-forespørgsel, der sendes, når flere resultater indlæses. Angriberen modificerer forespørgslen og tilføjer en ondsindet meta_query-værdi, der via blind SQL-injektion stille og roligt udtrækker admin-brugerens brugernavn og krypterede adgangskode fra WordPress-databasen. Med det krypterede kodeord kan angriberen forsøge et offline dictionary-angreb og potentielt overtage hele hjemmesiden.
Eksponering af kundedata fra WooCommerce
En webshop bruger JetEngine til at vise produktlister på forsiden. En angriber udnytter SQL-injektionsfejlen til systematisk at udtrække ordredata fra WooCommerce-tabellerne i databasen – herunder kunders navne, adresser og e-mailadresser. Disse oplysninger kan efterfølgende bruges til målrettede phishing-angreb mod kunderne eller sælges videre på kriminelle online-markeder. Virksomheden opdager det aldrig, fordi angrebet ikke efterlader synlige spor på selve hjemmesiden.
Kortlægning af intern systemkonfiguration
En angriber bruger SQL-injektionen til at udtrække indhold fra WordPress’ options-tabel, hvor systemkonfiguration og plugin-indstillinger gemmes. Her kan der ligge API-nøgler til betalingsgateway, SMTP-adgangskoder til e-mailserver eller nøgler til tredjepartstjenester. Med disse oplysninger kan angriberen få adgang til tilknyttede systemer langt ud over selve hjemmesiden og forårsage skade i hele virksomhedens digitale infrastruktur.
Ofte stillede spørgsmål
Hvordan ved jeg, om min hjemmeside bruger JetEngine?
Log ind på dit WordPress-dashboard og gå til ‘Plugins’ → ‘Installerede plugins’. Søg efter ‘JetEngine’ i listen. Hvis pluginnet optræder der, er du potentielt sårbar, hvis versionen er 3.8.10.1 eller ældre. Er du i tvivl, kan din webudvikler eller hostingudbyder hjælpe dig med at tjekke det.
Kan jeg se, om nogen allerede har udnyttet fejlen på min side?
Det er muligt at lede efter spor i serverlogge. Du skal kigge efter usædvanlige POST-forespørgsler til WordPress’ AJAX-endpoint (wp-admin/admin-ajax.php) med parameteren ‘listing_load_more’, som indeholder lange eller mærkelige værdier i ‘filtered_query’-feltet. Din hostingudbyder kan hjælpe dig med at trække og gennemgå disse logs. Et WordPress-sikkerhedsplugin som Wordfence kan også hjælpe med at identificere mistænkelig aktivitet.
Er det nok at deaktivere JetEngine midlertidigt?
Deaktivering af JetEngine stopper angrebet, men vil sandsynligvis bryde dele af din hjemmeside, hvis du aktivt bruger pluginnets funktioner til at vise indhold. Det kan bruges som en midlertidig nødforanstaltning, hvis du ikke kan opdatere med det samme – men du bør så opdatere og genaktivere pluginnet hurtigst muligt. Deaktivering alene løser ikke problemet.
Hvad sker der, hvis jeg ikke opdaterer?
Risikoen stiger for hvert døgn du venter. Hackere bruger automatiserede scanningsværktøjer til at finde sårbare hjemmesider på tværs af hele internettet. Hvis din side identificeres og angribes, kan følsomme data fra din database blive stjålet. Det kan medføre brud på GDPR, økonimisk skade og tab af kundernes tillid. Opdateringen tager typisk under fem minutter og er den klart bedste beskyttelse.
Skal jeg informere mine kunder eller Datatilsynet?
Det afhænger af, om et angreb faktisk har fundet sted, og hvilke data der eventuelt er kompromitteret. Hvis du har grund til at tro, at personoplysninger er blevet tilgået uden tilladelse, har du under GDPR pligt til at anmelde det til Datatilsynet inden for 72 timer. Kontakt en juridisk eller IT-sikkerhedsmæssig rådgiver, hvis du er usikker på, om du er blevet ramt.
Beskytter mit hostingfirma mig automatisk mod denne fejl?
Nogle hostingudbydere tilbyder en Web Application Firewall (WAF – et digitalt filter der blokerer kendte angrebsmønstre), som kan reducere risikoen. Men en WAF er ikke en garanti, og den erstatter ikke en opdatering af selve pluginnet. Kontakt din hostingudbyder og spørg, om de har implementeret regler mod CVE-2026-12360 – og opdatér pluginnet under alle omstændigheder.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The JetEngine plugin for WordPress is vulnerable to SQL injection in all versions up to and including 3.8.10.1. The listing_load_more AJAX handler accepts a filtered_query parameter that is intentionally excluded from the HMAC query signature check to support front-end filter integration. However, meta_query row values within filtered_query are not sanitized before being merged into SQL construction. This makes it possible for unauthenticated attackers to perform time-based or boolean blind SQL injection by appending a malicious meta_query value to a Load More AJAX request captured from any public Listing Grid page.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
