Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

JetEngine <= 3.8.9.1 - Authenticated (Contributor+) PHP Object Injection en JET Engine (vulnerabilidad) - version 3.8.10

PLUGIN HIGH CVE-2026-49075

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha detectado una vulnerabilidad crítica de inyección de objetos PHP en JetEngine, afectando a versiones hasta la 3.8.9.1. Esta falla permite a usuarios con rol de colaborador o superior ejecutar código malicioso, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el plugin JetEngine, específicamente en la gestión de objetos PHP. Los atacantes pueden aprovechar esta falla mediante la autenticación como colaboradores, lo que les permite manipular datos y ejecutar código no autorizado.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados ejecutar código en el servidor, lo que puede resultar en la pérdida de datos, alteración de la funcionalidad del sitio y posibles brechas de seguridad que afectan la confianza del usuario.

Vector de explotación

La explotación se realiza a través de la autenticación de usuarios con rol de colaborador, quienes pueden inyectar objetos PHP maliciosos a través de formularios o funciones del plugin.

Mitigación recomendada

Actualizar JetEngine a la versión 3.8.10 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario y limitar el acceso a funciones críticas del plugin. Implementar monitoreo de logs para detectar actividades inusuales relacionadas con la ejecución de código.

Señales de detección

Señales a observar incluyen intentos de ejecución de código PHP no autorizado en los logs de acceso y errores relacionados con la manipulación de objetos en el plugin.

Alcance afectado

Las versiones de JetEngine hasta la 3.8.9.1 están afectadas. No se han confirmado casos en versiones posteriores a la 3.8.10.

Vulnerabilidades relacionadas

HIGH PLUGIN

jet-engine

JetEngine <= 3.8.10.1 - Unauthenticated SQL Injection via Listing Grid Load More AJAX Endpoint

Ver ficha
HIGH PLUGIN

jet-engine

JetEngine <= 3.8.10 - Unauthenticated PHP Object Injection

Ver ficha
HIGH PLUGIN

jet-engine

JetEngine < 3.8.9.1 - Unauthenticated SQL Injection

Ver ficha
HIGH PLUGIN

jet-engine

JetEngine <= 3.8.9.1 - Unauthenticated SQL Injection

Ver ficha
HIGH PLUGIN

jet-engine

JetEngine <= 3.8.9.1 - Unauthenticated Stored Cross-Site Scripting

Ver ficha
HIGH PLUGIN

jet-engine

JetEngine <= 3.8.8.1 - Unauthenticated SQL Injection

Ver ficha
HIGH PLUGIN

jet-engine

JetEngine <= 3.8.6.1 - Unauthenticated SQL Injection via '_cct_search' Parameter

Ver ficha
HIGH PLUGIN

jet-engine

JetEngine <= 3.8.6.1 - Unauthenticated SQL Injection via Listing Grid 'filtered_query' Parameter

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad