免费扫描
HIGHCVE-2026-32355CVSS 7.5

CVE-2026-32355: PHP Object Injection in JetEngine

平台

wordpress

组件

jet-engine

修复版本

3.8.4.1

在NVD查看
保存

CVE-2026-32355描述了JetEngine WordPress插件中的一个PHP对象注入漏洞。该漏洞允许经过身份验证的攻击者(拥有贡献者级别或更高权限)通过反序列化不可信输入注入PHP对象。虽然JetEngine本身没有已知的POP链,但如果目标系统上安装了其他包含POP链的插件或主题,则该漏洞可能被利用,造成严重后果。受影响的版本包括JetEngine 3.8.4.1及更早版本,已发布修复版本3.8.4.1。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

该漏洞的潜在影响取决于目标系统上是否安装了包含PHP对象注入(POP)链的其他插件或主题。如果存在此类插件或主题,攻击者可以利用CVE-2026-32355注入恶意PHP对象,从而执行任意代码。攻击者可能利用此漏洞删除数据、修改网站配置,甚至完全控制受影响的WordPress站点。虽然JetEngine本身没有POP链,但其作为WordPress生态系统的一部分,与其他插件和主题的交互使得该漏洞具有潜在的严重性。攻击者需要具有贡献者级别或更高的权限才能利用此漏洞,但一旦成功,他们可以对网站造成重大损害。

利用背景

该漏洞已于2026年2月14日公开披露。目前尚无公开的POC代码,但由于PHP对象注入漏洞的普遍性,预计未来可能会出现。该漏洞的EPSS评分尚未确定,但考虑到其潜在影响和WordPress的广泛使用,可能被评定为中等或较高风险。建议密切关注安全社区的动态,并及时采取缓解措施。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.05% (17% 百分位)

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityHigh利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityHigh服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
高 — 需要竞态条件、非默认配置或特定情况。难以可靠利用。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
高 — 完全崩溃或资源耗尽,完全拒绝服务。

受影响的软件

组件jet-engine
供应商wordfence
最高版本3.8.4.1
修复版本3.8.4.1

弱点分类 (CWE)

CWE-502

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

最有效的缓解措施是立即将JetEngine插件升级至3.8.4.1或更高版本。如果升级导致网站出现问题,可以考虑回滚到之前的版本,但请注意,这会使系统再次暴露于漏洞中。此外,建议审查所有已安装的插件和主题,并确保它们来自可信来源,并且已更新到最新版本。如果无法立即升级,可以尝试限制对JetEngine插件的输入,并实施严格的输入验证措施,以防止反序列化不可信数据。虽然无法完全消除风险,但这些措施可以降低攻击的可能性。升级后,请检查JetEngine插件的日志文件,确认漏洞已成功修复。

修复方法

更新到 3.8.4.1 版本,或更新的补丁版本

常见问题

什么是CVE-2026-32355 — PHP对象注入漏洞在JetEngine中?

CVE-2026-32355描述了JetEngine WordPress插件中的一个PHP对象注入漏洞,允许攻击者通过反序列化不可信输入注入恶意代码。该漏洞影响版本小于等于3.8.4.1的JetEngine插件。

我是否受到CVE-2026-32355在JetEngine中的影响?

如果您正在使用JetEngine插件,并且版本小于等于3.8.4.1,则您可能受到此漏洞的影响。请立即检查您的插件版本并进行升级。

如何修复CVE-2026-32355在JetEngine中?

修复此漏洞的最佳方法是立即将JetEngine插件升级至3.8.4.1或更高版本。如果升级导致问题,可以考虑回滚,但请注意风险。

CVE-2026-32355是否正在被积极利用?

虽然目前尚无公开的POC代码,但由于PHP对象注入漏洞的普遍性,预计未来可能会出现。建议密切关注安全动态。

在哪里可以找到JetEngine官方针对CVE-2026-32355的公告?

请访问JetEngine官方网站或WordPress插件目录,查找有关CVE-2026-32355的官方安全公告。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描
live免费扫描

立即扫描您的WordPress项目 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...