Plataforma
wordpress
Componente
image-viewer
Corrigido em
1.0.3
A vulnerabilidade CVE-2026-1294 afeta o plugin All In One Image Viewer Block para WordPress. Trata-se de uma falha de Server-Side Request Forgery (SSRF) que permite a atacantes não autenticados realizar requisições web arbitrárias a partir da aplicação. Essa falha impacta versões do plugin de 1.0.0 até 1.0.2 e pode ser explorada para acessar e potencialmente modificar informações de serviços internos. A correção foi disponibilizada na versão 1.0.3.
Um atacante pode explorar essa vulnerabilidade para realizar requisições a recursos internos que normalmente não seriam acessíveis externamente. Isso pode incluir a leitura de arquivos de configuração, a interação com APIs internas ou até mesmo a execução de comandos em servidores subjacentes, dependendo das permissões concedidas aos serviços internos. A ausência de validação adequada da URL e de autorização no endpoint da API de proxy de imagem torna possível essa exploração. O impacto potencial é a exposição de dados confidenciais e a possibilidade de comprometimento da infraestrutura interna.
O CVE-2026-1294 foi publicado em 05 de fevereiro de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV da CISA no momento da publicação. A existência de um SSRF, especialmente em um plugin popular como este, representa um risco significativo e a ausência de um PoC público não elimina a possibilidade de exploração futura.
WordPress sites using the All In One Image Viewer Block plugin, particularly those with internal services accessible from the web server, are at risk. Shared hosting environments where users have limited control over installed plugins are also particularly vulnerable.
• wordpress / composer / npm:
wp plugin list | grep "All In One Image Viewer Block"• generic web:
curl -I https://your-wordpress-site.com/wp-json/aio-image-viewer/v1/image-proxy?url=http://internal-service | head -n 1• wordpress / composer / npm:
wp plugin update all-in-one-image-viewer-block• wordpress / composer / npm:
wp plugin status all-in-one-image-viewer-blockdisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização imediata para a versão 1.0.3 do plugin All In One Image Viewer Block. Se a atualização não for possível no momento, considere implementar regras em um Web Application Firewall (WAF) para bloquear requisições suspeitas ao endpoint da API de proxy de imagem. Além disso, restrinja o acesso aos serviços internos para evitar que sejam acessados por requisições externas. Monitore os logs do servidor em busca de requisições incomuns originadas do plugin.
Atualize para a versão 1.0.3, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-1294 é uma vulnerabilidade de Server-Side Request Forgery (SSRF) no plugin All In One Image Viewer Block para WordPress, permitindo que atacantes façam requisições web arbitrárias.
Sim, se você estiver utilizando o plugin All In One Image Viewer Block nas versões de 1.0.0 a 1.0.2, você está afetado por esta vulnerabilidade.
A correção é atualizar o plugin para a versão 1.0.3. Se a atualização não for possível, aplique medidas de mitigação como regras de WAF.
Não há relatos confirmados de exploração ativa no momento, mas a vulnerabilidade representa um risco significativo.
Verifique o site do desenvolvedor do plugin ou o repositório do WordPress para obter o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.