Escanear gratis

Esta página aún no ha sido traducida a tu idioma. Mostrando contenido en inglés mientras trabajamos en ello.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-32355CVSS 7.5

CVE-2026-32355: PHP Object Injection in JetEngine

Plataforma

wordpress

Componente

jet-engine

Corregido en

3.8.4.1

Ver en NVD
Guardar
Traduciendo a tu idioma…

CVE-2026-32355 describes a PHP Object Injection vulnerability affecting the JetEngine plugin for WordPress. This vulnerability allows authenticated attackers with Contributor-level access or higher to inject a PHP Object into the system. While the JetEngine plugin itself lacks a known PHP Object Poisoning (POP) chain, the vulnerability's impact significantly increases if other plugins or themes on the WordPress site contain such a chain, potentially leading to remote code execution.

WordPress

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis

Impacto y Escenarios de Ataquetraduciendo…

The core risk lies in the potential for Remote Code Execution (RCE). While CVE-2026-32355 doesn't directly enable RCE, it provides the entry point for an attacker to inject malicious code. If another plugin or theme on the WordPress site is vulnerable to PHP Object Poisoning (POP), the injected object can be exploited to trigger the POP chain, granting the attacker control over the server. This could lead to data breaches, website defacement, malware installation, and complete system compromise. The blast radius extends to any sensitive data stored on the WordPress site, including user credentials, customer information, and financial data.

Contexto de Explotacióntraduciendo…

CVE-2026-32355 was published on February 14, 2026. Its severity is currently assessed as HIGH (CVSS 7.5). No public Proof-of-Concept (POC) exploits have been publicly disclosed as of this writing. The vulnerability's exploitation depends on the presence of a POP chain in other installed plugins or themes, which introduces a dependency and potentially limits immediate exploitation. No known active campaigns targeting this specific vulnerability have been reported.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

0.05% (17% percentil)

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityHighCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Alta — requiere condición de carrera, configuración no predeterminada o circunstancias específicas. Más difícil de explotar.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentejet-engine
Proveedorwordfence
Versión máxima3.8.4.1
Corregido en3.8.4.1

Clasificación de Debilidad (CWE)

CWE-502

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado

Mitigación y Workaroundstraduciendo…

The primary mitigation is to immediately upgrade JetEngine to version 3.8.4.1 or later. If upgrading is not feasible due to compatibility issues or breaking changes, consider temporarily disabling the JetEngine plugin as a workaround. Web Application Firewalls (WAFs) configured to detect and block deserialization of untrusted input can provide an additional layer of protection. Monitor WordPress logs for suspicious deserialization attempts, specifically targeting JetEngine functionality. Regularly scan WordPress plugins and themes for known vulnerabilities using a reputable security scanner.

Cómo corregirlo

Actualizar a la versión 3.8.4.1, o una versión parcheada más reciente

Preguntas frecuentestraduciendo…

What is CVE-2026-32355 — PHP Object Injection in JetEngine?

CVE-2026-32355 is a HIGH severity vulnerability in the JetEngine WordPress plugin allowing authenticated attackers to inject PHP Objects. Exploitation requires a PHP Object Poisoning (POP) chain in another plugin or theme, potentially leading to RCE.

Am I affected by CVE-2026-32355 in JetEngine?

You are affected if you are using JetEngine version 3.8.4.1 or earlier. Check your plugin version using wp plugin list and upgrade immediately if vulnerable.

How do I fix CVE-2026-32355 in JetEngine?

Upgrade JetEngine to version 3.8.4.1 or later. If upgrading is not possible, temporarily disable the plugin. Consider WAF rules to block deserialization attempts.

Is CVE-2026-32355 being actively exploited?

No active campaigns targeting CVE-2026-32355 have been publicly reported, but exploitation is possible if a POP chain exists on the system.

Where can I find the official JetEngine advisory for CVE-2026-32355?

Refer to the official JetEngine website and WordPress plugin repository for updates and security advisories related to CVE-2026-32355.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
WordPress

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis
liveescaneo gratuito

Escanea tu proyecto WordPress ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...