Platform
wordpress
Component
jet-engine
Opgelost in
3.7.3
CVE-2026-28134 beschrijft een 'Code Injection' kwetsbaarheid in Crocoblock JetEngine, waardoor Remote Code Inclusion (RCI) mogelijk is. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren op een kwetsbare WordPress website. De kwetsbaarheid treft versies van JetEngine van 0.0.0 tot en met 3.7.2. Een update naar versie 3.8.1.2 is beschikbaar om dit probleem te verhelpen.
Deze RCE-kwetsbaarheid in JetEngine maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren op de server waarop de WordPress website draait. Dit kan leiden tot volledige controle over de website, inclusief het stelen van gevoelige gegevens, het wijzigen van de inhoud, het installeren van malware of het gebruiken van de server voor verdere aanvallen. De impact is aanzienlijk, aangezien een succesvolle exploitatie kan resulteren in een compromis van de gehele webapplicatie en de onderliggende serverinfrastructuur. Het potentieel voor laterale beweging is aanwezig, afhankelijk van de serverconfiguratie en de rechten van de gebruiker onder wiens context de code wordt uitgevoerd.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-05. Er is geen informatie beschikbaar over actieve campagnes of KEV-listing. Er zijn momenteel geen publiekelijk beschikbare proof-of-concept exploits bekend, maar de aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen.
WordPress websites utilizing Crocoblock JetEngine, particularly those with publicly accessible file upload functionalities or those running older, unpatched versions of the plugin, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also more vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "jet-engine/includes/class-jet-engine.php" . • wordpress / composer / npm:
wp plugin list --status=inactive | grep jetengine• wordpress / composer / npm:
wp plugin update --alldisclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van JetEngine naar versie 3.8.1.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de JetEngine functionaliteit via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verdachte code-injectie pogingen te blokkeren. Controleer de WordPress plugin directory op eventuele bekende IOC's. Na de upgrade, verifieer de fix door te proberen de kwetsbare code-injectie te exploiteren en te controleren of deze nu wordt geblokkeerd.
Update naar versie 3.8.1.2, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28134 is a Remote Code Execution vulnerability in Crocoblock JetEngine, allowing attackers to execute arbitrary code on a WordPress website. It has a CVSS score of 8.5 (HIGH).
You are affected if you are using JetEngine versions 0.0.0 through 3.7.2. Check your plugin version and upgrade immediately if necessary.
Upgrade JetEngine to version 3.8.1.2 or later. If upgrading is not possible, temporarily disable the plugin.
There is currently no confirmed active exploitation, but the RCE nature of the vulnerability makes it a high-priority target.
Refer to the Crocoblock website and their security advisory page for the latest information and updates regarding CVE-2026-28134.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.