Plateforme
wordpress
Composant
jet-engine
Corrigé dans
3.7.3
Une vulnérabilité d'injection de code (Remote Code Inclusion - RCI) a été découverte dans le plugin JetEngine pour WordPress. Cette faille permet à un attaquant d'exécuter du code arbitraire sur un serveur WordPress vulnérable. Elle affecte les versions de JetEngine comprises entre 0.0.0 et 3.7.2. Une version corrigée, 3.8.1.2, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter et d'exécuter du code malveillant sur le serveur WordPress. Cela peut conduire à la prise de contrôle complète du site web, à la compromission des données sensibles, à l'installation de logiciels malveillants ou à l'utilisation du serveur pour lancer des attaques contre d'autres systèmes. Le risque est particulièrement élevé si le site web héberge des informations confidentielles ou est utilisé pour des transactions financières. Cette vulnérabilité présente des similitudes avec d'autres failles de RCI, où l'attaquant peut exploiter des fonctions de chargement de fichiers non sécurisées pour exécuter du code à distance.
Cette vulnérabilité a été rendue publique le 5 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (RCE) la rend potentiellement dangereuse. La probabilité d'exploitation est considérée comme moyenne en raison de la popularité du plugin JetEngine et de la facilité potentielle d'exploitation. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour tout signe d'exploitation.
WordPress websites utilizing Crocoblock JetEngine, particularly those with publicly accessible file upload functionalities or those running older, unpatched versions of the plugin, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also more vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "jet-engine/includes/class-jet-engine.php" . • wordpress / composer / npm:
wp plugin list --status=inactive | grep jetengine• wordpress / composer / npm:
wp plugin update --alldisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
La mesure la plus importante est de mettre à jour JetEngine vers la version 3.8.1.2 ou supérieure. Si la mise à niveau n'est pas immédiatement possible, envisagez de désactiver temporairement le plugin JetEngine. En attendant, une solution de contournement potentielle consiste à restreindre l'accès aux fichiers de configuration de WordPress via un pare-feu d'application web (WAF) ou des règles de proxy, en bloquant les requêtes suspectes qui tentent d'inclure des fichiers externes. Vérifiez après la mise à niveau que le plugin est correctement mis à jour et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes.
Mettre à jour vers la version 3.8.1.2, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28134 is a Remote Code Execution vulnerability in Crocoblock JetEngine, allowing attackers to execute arbitrary code on a WordPress website. It has a CVSS score of 8.5 (HIGH).
You are affected if you are using JetEngine versions 0.0.0 through 3.7.2. Check your plugin version and upgrade immediately if necessary.
Upgrade JetEngine to version 3.8.1.2 or later. If upgrading is not possible, temporarily disable the plugin.
There is currently no confirmed active exploitation, but the RCE nature of the vulnerability makes it a high-priority target.
Refer to the Crocoblock website and their security advisory page for the latest information and updates regarding CVE-2026-28134.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.