Plataforma
wordpress
Componente
jet-engine
Corrigido em
3.7.3
Uma vulnerabilidade de Inclusão de Código Remoto (RCE) foi descoberta no plugin JetEngine para WordPress. Essa falha, classificada como 'Improper Control of Generation of Code' (injeção de código), permite que atacantes incluam código remotamente, comprometendo a segurança do site. Versões afetadas incluem do lançamento inicial até a versão 3.7.2. A correção foi lançada na versão 3.8.1.2.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante executar código arbitrário no servidor WordPress com os privilégios do usuário do WordPress que executa o plugin. Isso pode levar ao comprometimento total do site, incluindo roubo de dados confidenciais, modificação de conteúdo, instalação de malware e até mesmo controle total do servidor. Dada a popularidade do JetEngine e sua integração com diversos recursos do WordPress, o impacto pode ser significativo, especialmente em sites com dados sensíveis ou que servem como plataforma para comércio eletrônico.
A vulnerabilidade foi divulgada em 2026-03-05. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas de exploração.
WordPress websites utilizing Crocoblock JetEngine, particularly those with publicly accessible file upload functionalities or those running older, unpatched versions of the plugin, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also more vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "jet-engine/includes/class-jet-engine.php" . • wordpress / composer / npm:
wp plugin list --status=inactive | grep jetengine• wordpress / composer / npm:
wp plugin update --alldisclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin JetEngine para a versão 3.8.1.2 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin JetEngine. Como medida adicional, implemente regras de firewall de aplicação web (WAF) para bloquear solicitações suspeitas que tentem incluir código remoto. Monitore os logs do servidor WordPress em busca de atividades incomuns ou tentativas de inclusão de código.
Atualize para a versão 3.8.1.2, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28134 is a Remote Code Execution vulnerability in Crocoblock JetEngine, allowing attackers to execute arbitrary code on a WordPress website. It has a CVSS score of 8.5 (HIGH).
You are affected if you are using JetEngine versions 0.0.0 through 3.7.2. Check your plugin version and upgrade immediately if necessary.
Upgrade JetEngine to version 3.8.1.2 or later. If upgrading is not possible, temporarily disable the plugin.
There is currently no confirmed active exploitation, but the RCE nature of the vulnerability makes it a high-priority target.
Refer to the Crocoblock website and their security advisory page for the latest information and updates regarding CVE-2026-28134.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.