Plataforma
wordpress
Componente
jet-engine
Corregido en
3.7.3
Se ha identificado una vulnerabilidad de Ejecución Remota de Código (RCE) en el plugin JetEngine de Crocoblock. Esta vulnerabilidad, clasificada como Inclusión Remota de Código (RCI), permite a un atacante ejecutar código malicioso en un sitio WordPress vulnerable. Afecta a las versiones desde 0.0.0 hasta la 3.7.2, y se recomienda actualizar a la versión 3.8.1.2 para solucionar el problema.
La vulnerabilidad de RCE en JetEngine permite a un atacante, con acceso al sitio web, ejecutar código arbitrario en el servidor. Esto podría resultar en la toma de control completa del sitio WordPress, robo de datos sensibles (como información de usuarios, contraseñas y datos de comercio electrónico), modificación del contenido del sitio, o incluso el uso del servidor para lanzar ataques a otros sistemas. La Inclusión Remota de Código (RCI) es una técnica peligrosa que, si se explota con éxito, puede comprometer la integridad y confidencialidad de todo el entorno web. Un atacante podría inyectar código PHP malicioso a través de la vulnerabilidad, que luego sería ejecutado por el servidor web, permitiéndole realizar acciones no autorizadas.
La vulnerabilidad CVE-2026-28134 fue publicada el 5 de marzo de 2026. No se ha reportado explotación activa a la fecha. La probabilidad de explotación se considera media, dado que es una vulnerabilidad de RCE y el plugin JetEngine es ampliamente utilizado. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible. No se ha añadido a la lista KEV de CISA al momento de la redacción.
WordPress websites utilizing Crocoblock JetEngine, particularly those with publicly accessible file upload functionalities or those running older, unpatched versions of the plugin, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also more vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "jet-engine/includes/class-jet-engine.php" . • wordpress / composer / npm:
wp plugin list --status=inactive | grep jetengine• wordpress / composer / npm:
wp plugin update --alldisclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar JetEngine a la versión 3.8.1.2 o superior. Si la actualización causa problemas de compatibilidad con otros plugins o temas, considere realizar una copia de seguridad completa del sitio antes de actualizar y probar la nueva versión en un entorno de pruebas. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad. Revise los logs del servidor en busca de patrones de tráfico inusuales que puedan indicar un intento de explotación. Implementar reglas de seguridad en el servidor web para restringir la inclusión de archivos remotos puede ayudar a mitigar el riesgo.
Actualizar a la versión 3.8.1.2, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28134 is a Remote Code Execution vulnerability in Crocoblock JetEngine, allowing attackers to execute arbitrary code on a WordPress website. It has a CVSS score of 8.5 (HIGH).
You are affected if you are using JetEngine versions 0.0.0 through 3.7.2. Check your plugin version and upgrade immediately if necessary.
Upgrade JetEngine to version 3.8.1.2 or later. If upgrading is not possible, temporarily disable the plugin.
There is currently no confirmed active exploitation, but the RCE nature of the vulnerability makes it a high-priority target.
Refer to the Crocoblock website and their security advisory page for the latest information and updates regarding CVE-2026-28134.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.