| 插件名称 | JetEngine |
|---|---|
| 漏洞类型 | 远程代码执行 |
| CVE 编号 | CVE-2026-28134 |
| 紧迫性 | 高 |
| CVE 发布日期 | 2026-02-28 |
| 来源网址 | CVE-2026-28134 |
紧急:CVE-2026-28134 — JetEngine (<= 3.7.2) 中的远程代码执行 — WordPress 网站所有者现在必须做什么
一种高严重性远程代码执行 (RCE) 漏洞影响 JetEngine 版本(包括 3.7.2)于 2026 年 2 月 26 日公开披露(CVE-2026-28134)。该缺陷允许具有贡献者级别权限的认证用户注入输入,从而导致网站上的任意代码执行。该漏洞在 CVSS 中得分 8.5,已被分类为对使用受影响插件版本的 WordPress 网站的重大风险。.
如果您在任何公共网站上运行 JetEngine,请立即阅读此公告并遵循以下指导。我们将其写成实用的专家指南,而不是学术论文,以便您可以采取具体措施来保护您的业务、客户和基础设施。.
注意: WP-Firewall 是此公告的作者。我们提供托管防火墙、WAF、恶意软件扫描和缓解服务,包括涵盖基本保护的免费计划。详情如下。.
执行摘要(针对需要立即采取行动的网站所有者)
- 受影响的插件:JetEngine(常用于自定义文章类型、列表、表单和动态内容的插件)。.
- 易受攻击的版本:<= 3.7.2
- 修补版本:3.8.1.2(立即升级)
- CVE:CVE-2026-28134
- 严重性:高 — CVSS 8.5 — 远程代码执行 (RCE)
- 所需权限:贡献者(认证的低权限用户)
- 立即采取的行动:
- 如果可能,请立即将 JetEngine 更新到 3.8.1.2 或更高版本。.
- 如果您无法立即更新,请停用该插件并通过您的 WAF 阻止访问。.
- 审核用户帐户(删除或审查贡献者用户)并更换凭据。.
- 扫描是否存在安全漏洞,并查找以下列出的指标。.
- 如果您检测到安全漏洞,请遵循以下事件响应指导。.
为什么这如此危险
RCE 漏洞允许攻击者在您的 Web 服务器上执行任意代码。即使初始访问需要认证的低权限帐户,风险仍然很大,原因有几个:
- 许多 WordPress 网站接受注册或允许贡献者级别的活动(博客作者、社区贡献者、测试人员)。攻击者可以创建或共用此类帐户,然后利用该漏洞。.
- 一旦实现代码执行,攻击者可以安装后门、创建管理员帐户、修改模板以保持持久性、窃取数据、转向服务器上的其他网站,或利用您的服务器进行加密挖矿和垃圾邮件。.
- 自动化利用工具可以显著加速妥协——这种严重性漏洞通常在几天内被广泛扫描和利用。.
简而言之:将其视为关键问题并立即修复。.
我们对漏洞的了解(高层次)
公开报告显示:
- 该漏洞是远程代码执行(RCE)问题,归类于不安全输入的注入/处理(OWASP A3 / 注入类)。.
- 它影响 JetEngine 版本 <= 3.7.2,并在 3.8.1.2 中修复。.
- 利用该漏洞只需贡献者级别的权限——在许多接受用户内容的网站上,这一门槛相对较低。.
使利用武器化的技术细节在公开发布前已负责任地披露给开发者。一旦公开,攻击者通常会迅速调整有效的利用代码。最安全的做法是立即修补和/或阻止利用向量。.
立即的优先缓解步骤(现在该做什么)
按顺序遵循这些步骤——它们按影响和速度排序。.
- 将 JetEngine 更新到 3.8.1.2(推荐,最快的修复)
- 登录到您的 WordPress 管理后台。.
- 转到插件 → 已安装插件 → 将 JetEngine 更新到最新版本。.
- 如果您运行多站点或有多个站点,请立即安排批量更新。.
- 如果您无法立即更新,请停用该插件。
- 禁用会立即消除攻击面。您可以在修补和验证完整性后恢复功能。.
- 通过您的 WAF 应用虚拟补丁
- 如果您使用 WP‑Firewall 或其他 WAF,请启用针对该漏洞的发布缓解规则或创建临时规则以阻止利用有效载荷(以下是示例)。.
- 虚拟修补是在您升级期间的权宜之计。.
- 降低网站账户的权限
- 审核所有具有贡献者或更高权限的用户。.
- 删除或暂时降级您不认识或不需要的账户。.
- 强制重置具有提升权限的账户密码。.
- 锁定管理员区域
- 强制使用强密码,为编辑及以上角色启用双因素认证。.
- 在可行的情况下,通过IP限制对/wp-admin和/wp-login.php的访问。.
- 如果您的团队使用共享网络,请在执行管理任务时使用VPN或类似VPN的控制。.
- 禁用文件编辑并设置安全文件权限
- 添加
定义('DISALLOW_FILE_EDIT', true);对wp-config.php进行设置,以防止通过管理员UI编辑主题/插件。. - 确保文件权限具有限制性(通常文件为644,文件夹为755;除非必要,网络服务器用户不应拥有核心文件)。.
- 添加
- 在更改其他内容之前备份
- 现在创建完整备份(文件+数据库)并将其存储在服务器外。如果您发现有被入侵的证据,此备份对于取证和恢复非常有用。.
- 扫描恶意软件和入侵指标(详细信息如下)
妥协指标(IoCs)— 需要关注的内容
在RCE之后,入侵者通常会留下痕迹。查找以下内容:
- 新的管理员或可疑用户:
- wp_users条目中有可疑的电子邮件、奇怪的显示名称或最近创建的帐户。.
- 使用WP-CLI快速列出用户:
wp user list --role=administrator --fields=ID,user_login,user_email,user_registered
- 上传或主题/插件文件夹中意外的PHP文件:
- 检查上传的.php文件:
find wp-content/uploads -type f -name "*.php"
- 搜索常见的webshell模式:
grep -R --line-number -E "base64_decode|gzuncompress|eval\(|preg_replace\(.*/e" wp-content
- 检查上传的.php文件:
- 修改的核心、主题或插件文件:
- 将文件与已知的良好副本进行比较,或使用WordPress站点健康/文件完整性插件列出已更改的文件。.
- 使用WP-CLI:
wp 核心验证校验和
- 可疑的计划任务或 cron 作业:
- 检查 wp_options 中的 cron 条目并使用:
wp cron事件列表
- 检查 wp_options 中的 cron 条目并使用:
- 来自网络服务器的异常外部网络连接或异常 CPU 使用率
- 检查服务器进程列表、网络连接以及与已知恶意 IP 的出站连接。.
- 数据库中奇怪的条目或帖子/页面中意外的内容
- 攻击者通常会注入垃圾内容或链接,从而降低 SEO。.
- 网站根目录中的未知文件或修改过的 .htaccess 规则
- 查找重定向规则、虚假的网站地图文件或 base64 字符串。.
如果发现上述任何情况,请将网站视为可能被攻陷,并遵循以下事件响应步骤。.
检测和取证步骤(如果您怀疑被攻陷)
如果您检测到可疑活动,请保留证据并遵循取证意识流程:
- 快照当前服务器状态(文件、数据库、日志)并将副本离线存储。.
- 启用详细日志记录(网络服务器、PHP、数据库)并保留日志以供分析。.
- 确定初始访问向量和更改范围(哪些文件或数据库行被修改)。.
- 如果攻击者添加了持久后门,请将其删除,并用来自软件包存储库或备份的干净副本替换感染的文件。.
- 轮换所有凭据:WP 用户、数据库密码、FTP/SFTP、托管控制面板、API 密钥。.
- 检查横向移动——同一服务器上的其他网站或可能被攻陷的共享凭据。.
- 如果您有安全提供商或托管服务,请与他们联系以进行全面清理和根本原因分析。.
重要: 如果您没有事件响应经验或拥有高价值网站(电子商务、会员、流量大),请聘请专业安全团队。不当清理可能会留下持久后门。.
推荐的 WAF / 虚拟补丁规则(示例)
以下是一些通用规则示例和模式,您可以使用它们通过 WAF 或 Web 服务器配置来增强您的网站,直到您能够应用插件更新。根据您的环境进行修改,并在部署到生产环境之前进行测试。.
注意: 这些是防御性通用规则,旨在降低常见 RCE 有效载荷模式的风险。它们不能替代打补丁。.
1) 阻止包含 PHP 代码或长 base64 有效载荷的可疑 POST 主体
(mod_security 风格伪规则)
SecRule REQUEST_METHOD "POST" "chain,deny,status:403,id:100001,log,msg:'阻止包含 PHP 标签或长 base64 有效载荷的可疑 POST'"
2) 阻止对插件内部 PHP 文件的直接访问(如果已知)
如果漏洞针对 wp-content/plugins/jet-engine/ 中的特定插件端点,请通过 Web 服务器规则阻止对这些 PHP 文件的直接访问。.
Nginx 示例(拒绝对插件文件夹的直接 PHP 访问):
location ~* /wp-content/plugins/jet-engine/(.*\.php)$ {
注意: 小心测试 — 阻止可能会破坏合法的插件功能。如果攻击者直接针对插件文件,请将此作为临时应急措施。.
3) 阻止在上传文件夹中上传 PHP 文件
Apache(uploads 中的 .htaccess):
<FilesMatch "\.(php|phtml|php3|php4|php5|phps|shtml|pl|py|jsp|asp|sh)$">
Order allow,deny
Deny from all
</FilesMatch>
4) 阻止可疑的查询字符串模式和用户代理
许多自动扫描器使用特定的签名。阻止可疑的用户代理或阻止带有可疑参数的 POST 请求。.
示例(伪规则):
SecRule REQUEST_URI|ARGS|REQUEST_HEADERS:User-Agent "(?:(sqlmap|curl|python-requests|nmap|nikto))" "deny,log,id:100002,msg:'阻止常见扫描器'"
5) 限制速率并阻止可疑的账户创建和登录尝试
暂时提高账户创建/登录端点的速率限制,并要求新注册使用 CAPTCHA。.
WP‑Firewall 如何提供帮助(我们的方法 — 我们所做的)
作为一个WordPress防火墙和安全提供商,WP‑Firewall专注于分层防御:
- 管理的WAF和实时规则——当高风险漏洞被披露时,我们快速应用虚拟补丁以阻止利用尝试。.
- 恶意软件扫描和感染检测——我们的扫描器寻找已知的webshell模式、可疑的文件修改和异常的数据库更改。.
- 加固的默认设置——我们强制执行常见的最佳实践(禁用文件编辑、推荐强权限、支持双因素认证)。.
- 事件响应指导和管理清理选项(适用于高级计划的客户)。.
- 持续调优——我们监控威胁遥测并调整规则,以减少误报,同时最大化保护。.
如果您依赖插件生态系统并接受用户输入或注册,在您的网站前放置WAF并运行自动恶意软件扫描可以显著减少公共披露与修补之间的暴露窗口。.
加固建议(长期)
- 最小权限是基础
- 仅授予用户所需的权限。贡献者账户应给予最小权限,并谨慎使用。.
- 清单和更新管理
- 保持插件和主题的审计列表。定期应用更新,并使用暂存环境测试重大更改。.
- 安全的自动更新
- 在可行的情况下,为标记为安全或小版本的插件/主题启用自动更新。.
- 实施双因素认证和强身份验证
- 使双因素认证对编辑/管理员账户成为强制。使用密码策略和密码管理器。.
- 限制插件占用
- 停用并删除未使用的插件和主题。组件越少,攻击面越小。.
- 备份和恢复
- 保持定期、不可变的异地备份。频繁测试恢复。.
- 监控和警报
- 监控日志、文件完整性和用户行为。对可疑事件发出警报(例如,创建新管理员、未知PHP上传)。.
- 分段
- 在隔离账户上托管多个客户网站;避免在客户之间共享系统用户。.
如果您的网站已经被攻陷 — 事件响应检查清单
- 将网站置于维护模式或暂时下线以防止进一步损害。.
- 保留取证证据:对文件、数据库和日志进行快照。.
- 识别并移除webshell、恶意PHP文件和未经授权的管理员用户。.
- 用已知良好的副本替换修改过的核心、主题和插件文件。.
- 重置所有密码:WordPress用户(尤其是管理员)、数据库用户密码、FTP/SFTP、托管控制面板。.
- 撤销并重新发放任何泄露的API密钥、OAuth令牌和其他地方使用的凭据。.
- 应用修补的插件(3.8.1.2)和所有其他更新。.
- 使用多个扫描器重新扫描以确认移除恶意软件/后门。.
- 至少监控30天以防止重新感染。.
- 如果入侵很深或您无法确认已移除所有后门,请考虑从干净的备份中完全重建。.
如果您没有能力安全地执行上述操作,请寻求专家事件响应帮助。不当清理可能留下隐藏的访问权限,允许重新进入。.
实用验证步骤 — 快速命令
- 通过 WP‑CLI 检查插件版本:
wp 插件状态 jet-engine --format=json
- 列出最近创建的用户:
wp 用户列表 --role=contributor --field=user_login,user_email,user_registered | awk '$3 > "2026-01-01"'
- 搜索过去14天内在uploads下添加的PHP文件:
find wp-content/uploads -type f -name '*.php' -mtime -14 -print
- 搜索可疑函数:
grep -R --line-number -E "(eval\(|base64_decode\(|gzinflate\(|gzuncompress\()" wp-content
现在运行这些——它们成本低,能够快速显示明显的妥协痕迹。.
攻击场景和业务影响
利用CVE‑2026‑28134的攻击者可以:
- 安装持久后门(PHP webshell)。.
- 创建管理员用户并锁定您。.
- 外泄客户支付或个人数据。.
- 篡改网页或注入垃圾邮件/SEO垃圾邮件。.
- 利用您的服务器资源进行加密货币挖矿、发送垃圾邮件或扫描其他资产。.
- 在共享基础设施上妥协其他网站。.
业务影响包括停机时间、声誉损害、SEO处罚、如果涉及客户数据可能的法律/监管风险,以及清理成本。.
时间线与披露背景
- 研究人员报告日期:2025年6月25日(安全研究人员私下报告的初步发现)。.
- 公开披露/数据库列表:2026年2月26日。.
- 修补版本:3.8.1.2(建议在发布后立即升级)。.
在向上游开发者披露和公开发布之间,遵循了负责任的披露程序。一旦漏洞公开,攻击者通常会自动化利用——因此假设会迅速进行利用尝试。.
专家的结束建议
如果您安装了JetEngine,最安全、最快的修复方法是更新到版本3.8.1.2。如果您无法立即更新,请移除或停用插件,并通过您的WAF应用虚拟补丁。审核贡献者账户并更换凭据。.
仅依赖修补是不够的;您需要一个操作姿态:WAF保护、持续扫描、最小权限用户控制、经过测试的备份和事件响应计划。这种分层方法是防止漏洞变成泄露的方式。.
开始保护您的WordPress网站——提供免费计划
免费开始保护您的网站
如果您想立即减少风险,WP‑Firewall提供零成本的基础计划,提供基本保护:托管防火墙、Web应用防火墙(WAF)、自动恶意软件扫描器,以及对OWASP前10大风险的缓解。基础计划在您更新插件和进行取证检查时,立即提供虚拟补丁和阻止利用尝试。.
在此注册免费计划:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/
如果您需要自动删除、黑名单/白名单控制、定期报告或针对大型环境量身定制的虚拟补丁,我们的标准和专业计划增加了这些功能和托管服务。但基础(免费)层是每个希望今天获得保护的网站所有者的绝佳立即步骤。.
有用的资源和后续步骤(总结清单)
- 立即检查 JetEngine 版本;如果可能,更新到 3.8.1.2。.
- 如果您现在无法更新,请停用该插件。.
- 应用 WAF 规则或启用虚拟补丁以阻止攻击模式。.
- 审核用户角色(移除或禁用不需要的贡献者)。.
- 创建完整备份(文件 + 数据库)并将其存储在服务器外。.
- 扫描 webshell 和可疑文件;遵循上述 IoC 清单。.
- 轮换管理员、数据库、FTP 和任何其他暴露账户的凭据。.
- 监控日志和流量,注意异常峰值和外发连接。.
- 如果被攻破,保留证据并进行事件响应。.
如果您需要检测、虚拟补丁或更深入的取证分析的帮助,WP‑Firewall 安全团队随时为您提供支持——无论您是注册免费计划以获得基本保护,还是选择我们的托管计划以获得快速缓解和清理协助。.
保持安全。漏洞和数据泄露之间的区别往往在于您采取行动的速度。.
