Plateforme
wordpress
Composant
image-viewer
Corrigé dans
1.0.3
Une vulnérabilité de Server-Side Request Forgery (SSRF) a été découverte dans le plugin All In One Image Viewer Block pour WordPress. Cette faille, présente dans les versions 1.0.0 à 1.0.2 incluses, permet à des attaquants non authentifiés de lancer des requêtes web arbitraires via l'API REST image-proxy. La mise à jour vers la version 1.0.3 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de faire des requêtes HTTP arbitraires au nom du serveur WordPress. Cela peut être utilisé pour accéder à des ressources internes qui ne sont pas accessibles depuis l'extérieur, telles que des services d'administration, des bases de données ou d'autres applications web internes. Un attaquant pourrait potentiellement interroger et modifier des informations provenant de ces services internes, compromettant ainsi la confidentialité, l'intégrité et la disponibilité du système. Bien que l'attaquant doive être capable d'envoyer des requêtes au serveur WordPress, l'absence d'authentification rend cette vulnérabilité particulièrement préoccupante.
Cette vulnérabilité a été rendue publique le 5 février 2026. Aucune preuve d'exploitation active n'a été signalée à ce jour. Le score de probabilité d'exploitation est considéré comme moyen, compte tenu de la simplicité de l'exploitation et de l'absence d'authentification requise. Il est conseillé de surveiller les forums de sécurité et les flux d'informations sur les menaces pour détecter d'éventuelles activités malveillantes.
WordPress sites using the All In One Image Viewer Block plugin, particularly those with internal services accessible from the web server, are at risk. Shared hosting environments where users have limited control over installed plugins are also particularly vulnerable.
• wordpress / composer / npm:
wp plugin list | grep "All In One Image Viewer Block"• generic web:
curl -I https://your-wordpress-site.com/wp-json/aio-image-viewer/v1/image-proxy?url=http://internal-service | head -n 1• wordpress / composer / npm:
wp plugin update all-in-one-image-viewer-block• wordpress / composer / npm:
wp plugin status all-in-one-image-viewer-blockdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin All In One Image Viewer Block vers la version 1.0.3 ou supérieure. Si la mise à jour n'est pas possible immédiatement, une solution de contournement temporaire pourrait consister à restreindre l'accès au point de terminaison image-proxy via un pare-feu applicatif web (WAF) ou un proxy inverse. Configurez le WAF pour bloquer les requêtes vers des domaines ou des protocoles non autorisés. Vérifiez après la mise à jour que le point de terminaison image-proxy nécessite une authentification appropriée et que la validation des URL est correctement implémentée.
Mettre à jour vers la version 1.0.3, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1294 est une vulnérabilité de Server-Side Request Forgery (SSRF) affectant le plugin All In One Image Viewer Block pour WordPress, permettant à des attaquants de lancer des requêtes web arbitraires.
Vous êtes affecté si vous utilisez le plugin All In One Image Viewer Block dans les versions 1.0.0 à 1.0.2 incluses. Mettez à jour vers la version 1.0.3 ou supérieure.
La solution consiste à mettre à jour le plugin All In One Image Viewer Block vers la version 1.0.3 ou supérieure. En attendant, configurez un WAF pour bloquer les requêtes non autorisées.
À ce jour, aucune preuve d'exploitation active n'a été signalée, mais la vulnérabilité reste préoccupante en raison de sa simplicité d'exploitation.
Consultez le site web du plugin All In One Image Viewer Block ou le dépôt WordPress pour obtenir les dernières informations et les notes de publication concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.