प्लेटफ़ॉर्म
wordpress
घटक
jet-engine
में ठीक किया गया
3.7.3
CVE-2026-28134 JetEngine नामक वर्डप्रेस प्लगइन में एक कोड इंजेक्शन (Code Injection) भेद्यता है। इस भेद्यता के कारण हमलावर रिमोट कोड एग्जीक्यूशन (RCE) कर सकते हैं, जिससे वे सर्वर पर मनमाना कोड चला सकते हैं। यह भेद्यता JetEngine के वर्ज़न 0.0.0 से 3.7.2 तक के संस्करणों को प्रभावित करती है। प्लगइन को वर्ज़न 3.8.1.2 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को JetEngine प्लगइन के माध्यम से सर्वर पर मनमाना कोड चलाने की अनुमति देती है। एक सफल शोषण से हमलावर सर्वर पर पूर्ण नियंत्रण प्राप्त कर सकते हैं, संवेदनशील डेटा चोरी कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं। चूंकि JetEngine एक लोकप्रिय प्लगइन है, इसलिए इस भेद्यता का व्यापक प्रभाव हो सकता है। हमलावर प्लगइन के माध्यम से वेबसर्वर पर कमांड इंजेक्ट कर सकते हैं, जिससे वे डेटाबेस तक पहुंच प्राप्त कर सकते हैं, फ़ाइलों को संशोधित कर सकते हैं, या यहां तक कि सर्वर को पूरी तरह से नियंत्रित कर सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को बिना किसी प्रमाणीकरण के कोड निष्पादित करने की अनुमति दे सकती है, जिससे यह सार्वजनिक रूप से उजागर वेबसाइटों के लिए एक गंभीर खतरा बन जाता है।
CVE-2026-28134 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। यह भेद्यता अभी भी मूल्यांकन के अधीन है और CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, लेकिन इनकी पुष्टि नहीं हुई है। इस भेद्यता के बारे में जानकारी 2026-03-05 को प्रकाशित हुई थी।
WordPress websites utilizing Crocoblock JetEngine, particularly those with publicly accessible file upload functionalities or those running older, unpatched versions of the plugin, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also more vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "jet-engine/includes/class-jet-engine.php" . • wordpress / composer / npm:
wp plugin list --status=inactive | grep jetengine• wordpress / composer / npm:
wp plugin update --alldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVE-2026-28134 को कम करने के लिए, JetEngine प्लगइन को तुरंत वर्ज़न 3.8.1.2 या उच्चतर में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके संदिग्ध अनुरोधों को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप प्लगइन की फ़ाइलों और निर्देशिकाओं के लिए अनुमतियों को सख्त करके और अनावश्यक सुविधाओं को अक्षम करके सुरक्षा बढ़ा सकते हैं। JetEngine प्लगइन के सभी इंस्टेंस की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के सभी कार्यों का परीक्षण करें।
संस्करण 3.8.1.2 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-28134 JetEngine वर्डप्रेस प्लगइन में कोड इंजेक्शन (Code Injection) भेद्यता है, जो रिमोट कोड एग्जीक्यूशन (RCE) की अनुमति देती है।
यदि आप JetEngine के वर्ज़न 0.0.0 से 3.7.2 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
JetEngine प्लगइन को वर्ज़न 3.8.1.2 या उच्चतर में अपडेट करें।
CVE-2026-28134 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने की संभावना है।
आधिकारिक सलाहकार के लिए JetEngine वेबसाइट या वर्डप्रेस प्लगइन रिपॉजिटरी की जाँच करें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।