平台
wordpress
组件
jet-engine
修复版本
3.7.3
CVE-2026-28134是一个远程代码执行(RCE)漏洞,存在于Crocoblock JetEngine WordPress插件中。该漏洞允许攻击者通过代码注入执行任意代码,可能导致服务器被完全控制。该漏洞影响JetEngine从0.0.0到3.7.2版本。已发布补丁版本3.8.1.2。
攻击者可以利用此RCE漏洞在受影响的WordPress网站上执行任意代码。这可能包括上传恶意文件、修改数据库内容、安装后门程序,甚至完全控制服务器。由于JetEngine插件通常用于构建自定义WordPress网站功能,攻击者可以利用此漏洞访问敏感数据,例如用户凭据、客户信息和商业机密。如果网站上存储了数据库备份,攻击者可能能够恢复并窃取这些备份。此外,攻击者还可以利用此漏洞作为跳板,进行横向移动,攻击同一网络中的其他系统。
目前尚未公开发现利用此漏洞的公开PoC。CISA尚未将其添加到KEV目录。根据CVSS评分,该漏洞的风险较高,建议尽快修复。漏洞于2026年3月5日公开披露。
WordPress websites utilizing Crocoblock JetEngine, particularly those with publicly accessible file upload functionalities or those running older, unpatched versions of the plugin, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also more vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "jet-engine/includes/class-jet-engine.php" . • wordpress / composer / npm:
wp plugin list --status=inactive | grep jetengine• wordpress / composer / npm:
wp plugin update --alldisclosure
漏洞利用状态
EPSS
0.05% (16% 百分位)
CISA SSVC
最有效的缓解措施是立即将JetEngine插件升级到3.8.1.2或更高版本。如果升级会导致网站出现问题,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。此外,可以配置Web应用防火墙(WAF)或反向代理服务器,以阻止恶意请求访问JetEngine插件。例如,可以设置规则来阻止包含可疑代码的请求。建议定期审查JetEngine插件的配置,确保其安全性。
更新到 3.8.1.2 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-28134是一个远程代码执行漏洞,影响Crocoblock JetEngine WordPress插件,允许攻击者执行任意代码。
如果您正在使用JetEngine插件的版本低于3.8.1.2(0.0.0–3.7.2),则您可能受到此漏洞的影响。
立即将JetEngine插件升级到3.8.1.2或更高版本。
目前尚未公开发现利用此漏洞的公开PoC,但由于漏洞的严重性,建议尽快修复。
请访问Crocoblock官方网站或JetEngine插件的更新日志,以获取有关CVE-2026-28134的官方公告。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。