Plateforme
wordpress
Composant
frontis-blocks
Corrigé dans
1.1.7
La vulnérabilité CVE-2026-0807 affecte le plugin Frontis Blocks pour WordPress, une bibliothèque de blocs pour l'éditeur WordPress. Cette faille de type Server-Side Request Forgery (SSRF) permet à des attaquants non authentifiés d'effectuer des requêtes web vers des ressources arbitraires. Les versions concernées sont les versions 0.0.0 à 1.1.6 incluses. Une mise à jour vers la version 1.1.7 corrige ce problème.
Un attaquant exploitant cette vulnérabilité SSRF peut potentiellement accéder à des ressources internes qui ne sont pas directement accessibles depuis l'extérieur du réseau. Cela peut inclure des informations sensibles stockées sur le serveur WordPress, des services internes, ou même d'autres systèmes connectés au même réseau. L'attaquant peut également utiliser cette faille pour effectuer des attaques par déni de service (DoS) en envoyant des requêtes à des ressources externes, surchargeant ainsi le serveur WordPress. La capacité à effectuer des requêtes arbitraires augmente considérablement la surface d'attaque et le risque de compromission du système.
Cette vulnérabilité a été rendue publique le 24 janvier 2026. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Aucun proof-of-concept public n'a été largement diffusé, mais la nature de la SSRF rend l'exploitation potentiellement simple une fois qu'un PoC est disponible.
WordPress websites using the Frontis Blocks plugin, particularly those with limited network segmentation or exposed internal services, are at risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'template_proxy' /var/www/html/wp-content/plugins/frontis-blocks/• generic web:
curl -I https://your-wordpress-site.com/template-proxy/ | grep -i server• wordpress / composer / npm:
wp plugin list --status=active | grep frontis-blocksdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin Frontis Blocks vers la version 1.1.7 ou supérieure, qui corrige la vulnérabilité. En attendant la mise à jour, une mesure d'atténuation consiste à restreindre l'accès aux endpoints '/template-proxy/' et '/proxy-image/' via un pare-feu d'application web (WAF) ou un proxy inverse. Configurez ces outils pour bloquer les requêtes provenant de sources non fiables ou celles qui ciblent des destinations externes non autorisées. Vérifiez également la configuration du serveur WordPress pour vous assurer qu'il n'y a pas d'autres vulnérabilités qui pourraient être exploitées en conjonction avec cette SSRF.
Mettre à jour vers la version 1.1.7, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-0807 décrit une vulnérabilité de type Server-Side Request Forgery (SSRF) dans le plugin Frontis Blocks pour WordPress, permettant à un attaquant de faire des requêtes web arbitraires depuis le serveur.
Si vous utilisez le plugin Frontis Blocks pour WordPress dans les versions 0.0.0 à 1.1.6 incluses, vous êtes potentiellement affecté par cette vulnérabilité.
La solution recommandée est de mettre à jour le plugin Frontis Blocks vers la version 1.1.7 ou supérieure. En attendant, configurez un WAF pour bloquer les requêtes non autorisées.
À l'heure actuelle, il n'y a pas d'indications d'une exploitation active de CVE-2026-0807, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable.
Consultez le site web de Frontis Blocks ou le dépôt GitHub du plugin pour obtenir les informations les plus récentes et les détails de la correction.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.