Escanear gratis

Esta página aún no ha sido traducida a tu idioma. Mostrando contenido en inglés mientras trabajamos en ello.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-32355CVSS 7.5

JetEngine < 3.8.4.1 - Inyección de Objeto PHP Autenticado (Contributor+)

Plataforma

wordpress

Componente

jet-engine

Corregido en

3.8.4.1

Ver en NVD
Guardar
Traduciendo a tu idioma…

El plugin JetEngine para WordPress es vulnerable a Inyección de Objeto PHP en todas las versiones hasta la 3.8.4.1 (exclusiva) a través de la deserialización de entradas no confiables. Esto permite a atacantes autenticados, con acceso de nivel Contributor o superior, inyectar un Objeto PHP. No se encuentra presente una cadena POP (POP chain) conocida en el software vulnerable, lo que significa que esta vulnerabilidad no tiene impacto a menos que se instale otro plugin o tema que contenga una cadena POP en el sitio. Si una cadena POP está presente a través de un plugin o tema adicional instalado en el sistema de destino, podría permitir al atacante realizar acciones como eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código dependiendo de la cadena POP presente.

WordPress

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

0.05% (17% percentil)

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityHighCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Alta — requiere condición de carrera, configuración no predeterminada o circunstancias específicas. Más difícil de explotar.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentejet-engine
Proveedorwordfence
Versión máxima3.8.4.1
Corregido en3.8.4.1

Clasificación de Debilidad (CWE)

CWE-502

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado

Cómo corregirlo

Actualizar a la versión 3.8.4.1, o una versión parcheada más reciente

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
WordPress

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis
liveescaneo gratuito

Escanea tu proyecto WordPress ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...