Platform
wordpress
Component
image-viewer
Opgelost in
1.0.3
De All In One Image Viewer Block plugin voor WordPress is kwetsbaar voor Server-Side Request Forgery (SSRF). Deze kwetsbaarheid ontstaat door het ontbreken van autorisatie en URL-validatie op de image-proxy REST API endpoint. Dit stelt ongeauthenticeerde aanvallers in staat om webverzoeken naar willekeurige locaties uit te voeren, afkomstig van de webapplicatie. De kwetsbaarheid treft versies 1.0.0 tot en met 1.0.2. Een update naar versie 1.0.3 lost dit probleem op.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Aanvallers kunnen interne services en bronnen blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit omvat het ophalen van gevoelige configuratiegegevens, het uitvoeren van interne scans en potentieel het misbruiken van andere interne systemen. De impact kan variëren afhankelijk van de interne architectuur en de gevoeligheid van de blootgelegde services. Het is vergelijkbaar met scenario's waarbij interne API's of databases onbedoeld toegankelijk worden gemaakt via een webapplicatie.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is gepubliceerd op 2026-02-05 en is opgenomen in de NVD database. De EPSS score is nog niet bekend.
WordPress sites using the All In One Image Viewer Block plugin, particularly those with internal services accessible from the web server, are at risk. Shared hosting environments where users have limited control over installed plugins are also particularly vulnerable.
• wordpress / composer / npm:
wp plugin list | grep "All In One Image Viewer Block"• generic web:
curl -I https://your-wordpress-site.com/wp-json/aio-image-viewer/v1/image-proxy?url=http://internal-service | head -n 1• wordpress / composer / npm:
wp plugin update all-in-one-image-viewer-block• wordpress / composer / npm:
wp plugin status all-in-one-image-viewer-blockdisclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de All In One Image Viewer Block plugin naar versie 1.0.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) met regels om externe verzoeken van de image-proxy endpoint te blokkeren. Controleer ook de configuratie van de WordPress server en zorg ervoor dat de image-proxy endpoint niet toegankelijk is vanaf het internet. Monitor de server logs op verdachte verzoeken die afkomstig zijn van de image-proxy endpoint.
Update naar versie 1.0.3, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1294 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de All In One Image Viewer Block WordPress plugin, waardoor ongeautoriseerde webverzoeken mogelijk zijn.
Ja, als u de All In One Image Viewer Block plugin gebruikt in versie 1.0.0 tot en met 1.0.2, bent u kwetsbaar.
Update de plugin naar versie 1.0.3 of hoger. Implementeer tijdelijk een WAF om externe verzoeken te blokkeren.
Er zijn momenteel geen meldingen van actieve exploitatie, maar de lage complexiteit maakt misbruik waarschijnlijk.
Raadpleeg de WordPress plugin directory of de website van de plugin ontwikkelaar voor de officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.