All In One Image Viewer Block <= 1.0.2 - Forgeage de Requête Côté Serveur Non Authentifié via l'Endpoint image-proxy
Plateforme
wordpress
Composant
image-viewer
Corrigé dans
1.0.3
Une vulnérabilité de Server-Side Request Forgery (SSRF) a été découverte dans le plugin All In One Image Viewer Block pour WordPress. Cette faille, présente dans les versions 1.0.0 à 1.0.2 incluses, permet à des attaquants non authentifiés de lancer des requêtes web arbitraires via l'API REST image-proxy. La mise à jour vers la version 1.0.3 corrige cette vulnérabilité.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de faire des requêtes HTTP arbitraires au nom du serveur WordPress. Cela peut être utilisé pour accéder à des ressources internes qui ne sont pas accessibles depuis l'extérieur, telles que des services d'administration, des bases de données ou d'autres applications web internes. Un attaquant pourrait potentiellement interroger et modifier des informations provenant de ces services internes, compromettant ainsi la confidentialité, l'intégrité et la disponibilité du système. Bien que l'attaquant doive être capable d'envoyer des requêtes au serveur WordPress, l'absence d'authentification rend cette vulnérabilité particulièrement préoccupante.
Contexte d'Exploitation
Cette vulnérabilité a été rendue publique le 5 février 2026. Aucune preuve d'exploitation active n'a été signalée à ce jour. Le score de probabilité d'exploitation est considéré comme moyen, compte tenu de la simplicité de l'exploitation et de l'absence d'authentification requise. Il est conseillé de surveiller les forums de sécurité et les flux d'informations sur les menaces pour détecter d'éventuelles activités malveillantes.
Qui Est à Risquetraduction en cours…
WordPress sites using the All In One Image Viewer Block plugin, particularly those with internal services accessible from the web server, are at risk. Shared hosting environments where users have limited control over installed plugins are also particularly vulnerable.
Étapes de Détectiontraduction en cours…
• wordpress / composer / npm:
wp plugin list | grep "All In One Image Viewer Block"• generic web:
curl -I https://your-wordpress-site.com/wp-json/aio-image-viewer/v1/image-proxy?url=http://internal-service | head -n 1• wordpress / composer / npm:
wp plugin update all-in-one-image-viewer-block• wordpress / composer / npm:
wp plugin status all-in-one-image-viewer-blockChronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
- Confidentiality
- Faible — accès partiel ou indirect à certaines données.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Informations sur le paquet
- Installations actives
- 200
- Note du plugin
- 0.0
- Nécessite WordPress
- 5.0+
- Compatible jusqu'à
- 6.9.4
- Nécessite PHP
- 7.1+
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation immédiate consiste à mettre à jour le plugin All In One Image Viewer Block vers la version 1.0.3 ou supérieure. Si la mise à jour n'est pas possible immédiatement, une solution de contournement temporaire pourrait consister à restreindre l'accès au point de terminaison image-proxy via un pare-feu applicatif web (WAF) ou un proxy inverse. Configurez le WAF pour bloquer les requêtes vers des domaines ou des protocoles non autorisés. Vérifiez après la mise à jour que le point de terminaison image-proxy nécessite une authentification appropriée et que la validation des URL est correctement implémentée.
Comment corriger
Mettre à jour vers la version 1.0.3, ou une version corrigée plus récente
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
What is CVE-2026-1294 — SSRF in All In One Image Viewer Block?
CVE-2026-1294 est une vulnérabilité de Server-Side Request Forgery (SSRF) affectant le plugin All In One Image Viewer Block pour WordPress, permettant à des attaquants de lancer des requêtes web arbitraires.
Am I affected by CVE-2026-1294 in All In One Image Viewer Block?
Vous êtes affecté si vous utilisez le plugin All In One Image Viewer Block dans les versions 1.0.0 à 1.0.2 incluses. Mettez à jour vers la version 1.0.3 ou supérieure.
How do I fix CVE-2026-1294 in All In One Image Viewer Block?
La solution consiste à mettre à jour le plugin All In One Image Viewer Block vers la version 1.0.3 ou supérieure. En attendant, configurez un WAF pour bloquer les requêtes non autorisées.
Is CVE-2026-1294 being actively exploited?
À ce jour, aucune preuve d'exploitation active n'a été signalée, mais la vulnérabilité reste préoccupante en raison de sa simplicité d'exploitation.
Where can I find the official All In One Image Viewer Block advisory for CVE-2026-1294?
Consultez le site web du plugin All In One Image Viewer Block ou le dépôt WordPress pour obtenir les dernières informations et les notes de publication concernant cette vulnérabilité.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.