प्लेटफ़ॉर्म
wordpress
घटक
image-viewer
में ठीक किया गया
1.0.3
All In One Image Viewer Block प्लगइन में सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता पाई गई है। यह भेद्यता हमलावरों को वेब एप्लिकेशन से उत्पन्न होने वाले मनमानी स्थानों पर वेब अनुरोध करने की अनुमति देती है, जिससे आंतरिक सेवाओं से जानकारी प्राप्त की जा सकती है। यह भेद्यता WordPress के संस्करण 1.0.0 से 1.0.2 तक के संस्करणों को प्रभावित करती है। प्लगइन को संस्करण 1.0.3 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह SSRF भेद्यता हमलावरों को आंतरिक नेटवर्क संसाधनों तक पहुंचने और उनसे जानकारी निकालने की अनुमति दे सकती है जो अन्यथा बाहरी दुनिया के लिए दुर्गम हैं। हमलावर आंतरिक सेवाओं को स्कैन करने, संवेदनशील डेटा प्राप्त करने या यहां तक कि आंतरिक सिस्टम पर हमले शुरू करने के लिए इस भेद्यता का उपयोग कर सकते हैं। चूंकि यह भेद्यता प्रमाणीकरण की कमी के कारण मौजूद है, इसलिए कोई भी हमलावर इसका फायदा उठा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है। यह भेद्यता आंतरिक डेटाबेस, कॉन्फ़िगरेशन फ़ाइलों और अन्य संवेदनशील जानकारी तक अनधिकृत पहुंच का कारण बन सकती है।
यह भेद्यता 2026-02-05 को सार्वजनिक रूप से प्रकट की गई थी। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि इसका फायदा उठाया जा सकता है। CISA KEV सूची में अभी तक शामिल नहीं है। भेद्यता का जोखिम मध्यम है क्योंकि यह प्रमाणीकरण की कमी के कारण आसानी से शोषण योग्य है।
WordPress sites using the All In One Image Viewer Block plugin, particularly those with internal services accessible from the web server, are at risk. Shared hosting environments where users have limited control over installed plugins are also particularly vulnerable.
• wordpress / composer / npm:
wp plugin list | grep "All In One Image Viewer Block"• generic web:
curl -I https://your-wordpress-site.com/wp-json/aio-image-viewer/v1/image-proxy?url=http://internal-service | head -n 1• wordpress / composer / npm:
wp plugin update all-in-one-image-viewer-block• wordpress / composer / npm:
wp plugin status all-in-one-image-viewer-blockdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, All In One Image Viewer Block प्लगइन को तुरंत संस्करण 1.0.3 में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके छवि-प्रॉक्सी REST API एंडपॉइंट तक पहुंच को प्रतिबंधित करने पर विचार करें। इसके अतिरिक्त, आंतरिक नेटवर्क संसाधनों तक पहुंच को सीमित करने के लिए नेटवर्क सेगमेंटेशन लागू किया जाना चाहिए। सुनिश्चित करें कि सभी WordPress इंस्टॉलेशन नवीनतम सुरक्षा पैच के साथ अपडेट किए गए हैं और मजबूत पासवर्ड का उपयोग किया गया है। अपडेट के बाद, प्लगइन के नवीनतम संस्करण में कोई भी ज्ञात भेद्यता नहीं है, यह सत्यापित करने के लिए इसकी कार्यक्षमता का परीक्षण करें।
1.0.3 संस्करण में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-1294 WordPress के All In One Image Viewer Block प्लगइन में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को आंतरिक सेवाओं तक पहुंचने की अनुमति देती है।
यदि आप All In One Image Viewer Block प्लगइन के संस्करण 1.0.0 से 1.0.2 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
All In One Image Viewer Block प्लगइन को संस्करण 1.0.3 में अपडेट करें।
वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि इसका फायदा उठाया जा सकता है।
कृपया All In One Image Viewer Block प्लगइन डेवलपर की वेबसाइट या WordPress प्लगइन रिपॉजिटरी पर आधिकारिक सलाह देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।