無料スキャン

このページはまだあなたの言語に翻訳されていません。翻訳作業中のため、英語でコンテンツを表示しています。

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-32355CVSS 7.5

CVE-2026-32355: PHP Object Injection in JetEngine

プラットフォーム

wordpress

コンポーネント

jet-engine

修正版

3.8.4.1

NVDで見る
保存
あなたの言語に翻訳中…

CVE-2026-32355 describes a PHP Object Injection vulnerability affecting the JetEngine plugin for WordPress. This vulnerability allows authenticated attackers with Contributor-level access or higher to inject a PHP Object into the system. While the JetEngine plugin itself lacks a known PHP Object Poisoning (POP) chain, the vulnerability's impact significantly increases if other plugins or themes on the WordPress site contain such a chain, potentially leading to remote code execution.

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ翻訳中…

The core risk lies in the potential for Remote Code Execution (RCE). While CVE-2026-32355 doesn't directly enable RCE, it provides the entry point for an attacker to inject malicious code. If another plugin or theme on the WordPress site is vulnerable to PHP Object Poisoning (POP), the injected object can be exploited to trigger the POP chain, granting the attacker control over the server. This could lead to data breaches, website defacement, malware installation, and complete system compromise. The blast radius extends to any sensitive data stored on the WordPress site, including user credentials, customer information, and financial data.

悪用の状況翻訳中…

CVE-2026-32355 was published on February 14, 2026. Its severity is currently assessed as HIGH (CVSS 7.5). No public Proof-of-Concept (POC) exploits have been publicly disclosed as of this writing. The vulnerability's exploitation depends on the presence of a POP chain in other installed plugins or themes, which introduces a dependency and potentially limits immediate exploitation. No known active campaigns targeting this specific vulnerability have been reported.

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.05% (17% パーセンタイル)

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityHigh悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
高 — 競合条件、非標準設定、または特定の状況が必要。悪用が難しい。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントjet-engine
ベンダーwordfence
最大バージョン3.8.4.1
修正版3.8.4.1

弱点分類 (CWE)

CWE-502

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策翻訳中…

The primary mitigation is to immediately upgrade JetEngine to version 3.8.4.1 or later. If upgrading is not feasible due to compatibility issues or breaking changes, consider temporarily disabling the JetEngine plugin as a workaround. Web Application Firewalls (WAFs) configured to detect and block deserialization of untrusted input can provide an additional layer of protection. Monitor WordPress logs for suspicious deserialization attempts, specifically targeting JetEngine functionality. Regularly scan WordPress plugins and themes for known vulnerabilities using a reputable security scanner.

修正方法

バージョン3.8.4.1、またはそれ以降の修正バージョンにアップデートしてください

よくある質問翻訳中…

What is CVE-2026-32355 — PHP Object Injection in JetEngine?

CVE-2026-32355 is a HIGH severity vulnerability in the JetEngine WordPress plugin allowing authenticated attackers to inject PHP Objects. Exploitation requires a PHP Object Poisoning (POP) chain in another plugin or theme, potentially leading to RCE.

Am I affected by CVE-2026-32355 in JetEngine?

You are affected if you are using JetEngine version 3.8.4.1 or earlier. Check your plugin version using wp plugin list and upgrade immediately if vulnerable.

How do I fix CVE-2026-32355 in JetEngine?

Upgrade JetEngine to version 3.8.4.1 or later. If upgrading is not possible, temporarily disable the plugin. Consider WAF rules to block deserialization attempts.

Is CVE-2026-32355 being actively exploited?

No active campaigns targeting CVE-2026-32355 have been publicly reported, but exploitation is possible if a POP chain exists on the system.

Where can I find the official JetEngine advisory for CVE-2026-32355?

Refer to the official JetEngine website and WordPress plugin repository for updates and security advisories related to CVE-2026-32355.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン
scanZone.liveBadgescanZone.eyebrow

WordPressプロジェクトを今すぐスキャン — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...