All In One Image Viewer Block <= 1.0.2 - Ongemachtigde Server-Side Request Forgery via image-proxy Endpoint
Platform
wordpress
Component
image-viewer
Opgelost in
1.0.3
De All In One Image Viewer Block plugin voor WordPress is kwetsbaar voor Server-Side Request Forgery (SSRF). Deze kwetsbaarheid ontstaat door het ontbreken van autorisatie en URL-validatie op de image-proxy REST API endpoint. Dit stelt ongeauthenticeerde aanvallers in staat om webverzoeken naar willekeurige locaties uit te voeren, afkomstig van de webapplicatie. De kwetsbaarheid treft versies 1.0.0 tot en met 1.0.2. Een update naar versie 1.0.3 lost dit probleem op.
Detecteer deze CVE in je project
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Aanvallers kunnen interne services en bronnen blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit omvat het ophalen van gevoelige configuratiegegevens, het uitvoeren van interne scans en potentieel het misbruiken van andere interne systemen. De impact kan variëren afhankelijk van de interne architectuur en de gevoeligheid van de blootgelegde services. Het is vergelijkbaar met scenario's waarbij interne API's of databases onbedoeld toegankelijk worden gemaakt via een webapplicatie.
Uitbuitingscontext
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is gepubliceerd op 2026-02-05 en is opgenomen in de NVD database. De EPSS score is nog niet bekend.
Wie Loopt Risicowordt vertaald…
WordPress sites using the All In One Image Viewer Block plugin, particularly those with internal services accessible from the web server, are at risk. Shared hosting environments where users have limited control over installed plugins are also particularly vulnerable.
Detectiestappenwordt vertaald…
• wordpress / composer / npm:
wp plugin list | grep "All In One Image Viewer Block"• generic web:
curl -I https://your-wordpress-site.com/wp-json/aio-image-viewer/v1/image-proxy?url=http://internal-service | head -n 1• wordpress / composer / npm:
wp plugin update all-in-one-image-viewer-block• wordpress / composer / npm:
wp plugin status all-in-one-image-viewer-blockAanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
- Confidentiality
- Laag — gedeeltelijke toegang tot enkele gegevens.
- Integrity
- Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Pakketinformatie
- Actieve installaties
- 200
- Plugin-beoordeling
- 0.0
- Vereist WordPress
- 5.0+
- Compatibel tot
- 6.9.4
- Vereist PHP
- 7.1+
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie is het updaten van de All In One Image Viewer Block plugin naar versie 1.0.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) met regels om externe verzoeken van de image-proxy endpoint te blokkeren. Controleer ook de configuratie van de WordPress server en zorg ervoor dat de image-proxy endpoint niet toegankelijk is vanaf het internet. Monitor de server logs op verdachte verzoeken die afkomstig zijn van de image-proxy endpoint.
Hoe te verhelpen
Update naar versie 1.0.3, of een nieuwere gepatchte versie
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragen
Wat is CVE-2026-1294 — SSRF in All In One Image Viewer Block?
CVE-2026-1294 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de All In One Image Viewer Block WordPress plugin, waardoor ongeautoriseerde webverzoeken mogelijk zijn.
Ben ik getroffen door CVE-2026-1294 in All In One Image Viewer Block?
Ja, als u de All In One Image Viewer Block plugin gebruikt in versie 1.0.0 tot en met 1.0.2, bent u kwetsbaar.
Hoe los ik CVE-2026-1294 in All In One Image Viewer Block op?
Update de plugin naar versie 1.0.3 of hoger. Implementeer tijdelijk een WAF om externe verzoeken te blokkeren.
Wordt CVE-2026-1294 actief misbruikt?
Er zijn momenteel geen meldingen van actieve exploitatie, maar de lage complexiteit maakt misbruik waarschijnlijk.
Waar kan ik de officiële All In One Image Viewer Block advisory voor CVE-2026-1294 vinden?
Raadpleeg de WordPress plugin directory of de website van de plugin ontwikkelaar voor de officiële advisory.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.