HIGHCVE-2026-28134CVSS 8.5

WordPress JetEngine プラグイン <= 3.7.2 - 遠隔コード実行 (RCE) 脆弱性

Q: CVE-2026-28134 — RCE in JetEngine WordPress Pluginとは何ですか？

CVE-2026-28134は、Crocoblock JetEngineプラグインのバージョン0.0.0～3.7.2で、コードインジェクションによりリモートコード実行(RCE)を許容する脆弱性です。攻撃者は悪意のあるコードを挿入し、サーバー上で実行できます。

Q: CVE-2026-28134 in JetEngine WordPress Pluginの影響はありますか？

JetEngineプラグインのバージョン0.0.0から3.7.2を使用しているWordPressサイトは、この脆弱性によって攻撃を受ける可能性があります。攻撃者はサーバーを完全に制御し、機密情報を盗み出す可能性があります。

Q: CVE-2026-28134 in JetEngine WordPress Pluginを修正するにはどうすればよいですか？

JetEngineプラグインをバージョン3.8.1.2にアップデートしてください。アップデートできない場合は、WAFを使用するか、ファイルパーミッションを制限するなどの対策を講じてください。

Q: CVE-2026-28134は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、RCEの深刻度を考慮すると、悪用される可能性は高いと考えられます。

Q: CVE-2026-28134に関するCrocoblockの公式アドバイザリはどこで入手できますか？

Crocoblockの公式アドバイザリは、CrocoblockのウェブサイトまたはJetEngineのドキュメントで確認できます。

プラットフォーム

wordpress

コンポーネント

jet-engine

修正版

3.7.3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-28134は、Crocoblock JetEngineプラグインにおけるコードインジェクションの脆弱性です。この脆弱性を悪用されると、攻撃者はリモートコードを実行し、サーバーを完全に制御する可能性があります。影響を受けるバージョンは、JetEngine 0.0.0から3.7.2までのものです。Crocoblockはバージョン3.8.1.2で修正を提供しています。

影響と攻撃シナリオ

このRCE脆弱性は、攻撃者がJetEngineプラグインを介してWordPressサイト上で任意のコードを実行することを可能にします。攻撃者は、Webサイトのファイルシステムにアクセスし、データベースを改ざんし、機密情報を盗み出す可能性があります。さらに、攻撃者はWebサイトを悪意のあるコンテンツを配信するために使用したり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。この脆弱性は、WordPressサイトの完全な侵害につながる可能性があります。

悪用の状況

この脆弱性は2026年3月5日に公開されました。現時点では、公開されているPoCは確認されていませんが、RCEの深刻度を考慮すると、悪用される可能性は高いと考えられます。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites utilizing Crocoblock JetEngine, particularly those with publicly accessible file upload functionalities or those running older, unpatched versions of the plugin, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also more vulnerable, as a compromise of one site could potentially lead to the compromise of others.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "jet-engine/includes/class-jet-engine.php" .

• wordpress / composer / npm:

wp plugin list --status=inactive | grep jetengine

• wordpress / composer / npm:

wp plugin update --all

攻撃タイムライン

2026-03-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.05% (16% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントjet-engine

ベンダーwordfence

影響範囲修正版

0 – 3.7.23.7.3

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2026-02-25
公開日2026-03-05
更新日2026-04-28
EPSS 更新日2026-03-23

緩和策と回避策

JetEngineプラグインをバージョン3.8.1.2にアップデートすることが最も効果的な対策です。アップデートできない場合は、Webアプリケーションファイアウォール（WAF）を使用して、悪意のあるコードインジェクション攻撃をブロックすることを検討してください。また、JetEngineプラグインのファイルへのアクセスを制限するファイルパーミッションを設定することも有効です。攻撃の兆候を監視するために、アクセスログやエラーログを定期的に確認してください。

修正方法

バージョン 3.8.1.2、またはそれ以降の修正バージョンにアップデートしてください

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-28134 — RCE in JetEngine WordPress Pluginとは何ですか？

CVE-2026-28134は、Crocoblock JetEngineプラグインのバージョン0.0.0～3.7.2で、コードインジェクションによりリモートコード実行(RCE)を許容する脆弱性です。攻撃者は悪意のあるコードを挿入し、サーバー上で実行できます。

CVE-2026-28134 in JetEngine WordPress Pluginの影響はありますか？

JetEngineプラグインのバージョン0.0.0から3.7.2を使用しているWordPressサイトは、この脆弱性によって攻撃を受ける可能性があります。攻撃者はサーバーを完全に制御し、機密情報を盗み出す可能性があります。

CVE-2026-28134 in JetEngine WordPress Pluginを修正するにはどうすればよいですか？

JetEngineプラグインをバージョン3.8.1.2にアップデートしてください。アップデートできない場合は、WAFを使用するか、ファイルパーミッションを制限するなどの対策を講じてください。

CVE-2026-28134は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、RCEの深刻度を考慮すると、悪用される可能性は高いと考えられます。

CVE-2026-28134に関するCrocoblockの公式アドバイザリはどこで入手できますか？

Crocoblockの公式アドバイザリは、CrocoblockのウェブサイトまたはJetEngineのドキュメントで確認できます。

WordPress JetEngine プラグイン <= 3.7.2 - 遠隔コード実行 (RCE) 脆弱性

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2026-28134 — RCE in JetEngine WordPress Pluginとは何ですか？

CVE-2026-28134 in JetEngine WordPress Pluginの影響はありますか？

CVE-2026-28134 in JetEngine WordPress Pluginを修正するにはどうすればよいですか？

CVE-2026-28134は積極的に悪用されていますか？

CVE-2026-28134に関するCrocoblockの公式アドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認