平台
wordpress
组件
image-viewer
修复版本
1.0.3
CVE-2026-1294描述了WordPress All In One Image Viewer Block插件中的服务器端请求伪造(SSRF)漏洞。该漏洞允许未经身份验证的攻击者通过图像代理REST API端点发起任意Web请求,从而可能访问或修改内部服务的信息。该漏洞影响插件版本1.0.0到1.0.2。已发布安全补丁,建议用户尽快升级至1.0.3版本。
该SSRF漏洞的潜在影响非常严重。攻击者可以利用该漏洞发起对内部网络的请求,绕过防火墙和安全策略,访问敏感数据或执行恶意操作。例如,攻击者可以扫描内部网络,寻找其他易受攻击的服务,或者利用该漏洞访问数据库、API或其他内部资源。如果内部服务存在身份验证漏洞,攻击者甚至可以利用SSRF漏洞进行进一步的攻击,例如读取内部配置信息或执行远程代码。由于该漏洞无需身份验证,攻击者可以轻易利用它来攻击WordPress网站。
该漏洞已公开披露,且CVSS评分为7.2(高),表明其存在较高风险。目前尚未观察到大规模的利用活动,但由于该漏洞易于利用且无需身份验证,预计未来可能会被广泛利用。建议密切关注安全社区的动态,及时采取必要的安全措施。
WordPress sites using the All In One Image Viewer Block plugin, particularly those with internal services accessible from the web server, are at risk. Shared hosting environments where users have limited control over installed plugins are also particularly vulnerable.
• wordpress / composer / npm:
wp plugin list | grep "All In One Image Viewer Block"• generic web:
curl -I https://your-wordpress-site.com/wp-json/aio-image-viewer/v1/image-proxy?url=http://internal-service | head -n 1• wordpress / composer / npm:
wp plugin update all-in-one-image-viewer-block• wordpress / composer / npm:
wp plugin status all-in-one-image-viewer-blockdisclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
为了缓解CVE-2026-1294漏洞,最有效的措施是立即升级All In One Image Viewer Block插件至1.0.3版本或更高版本。如果无法立即升级,可以考虑使用Web应用防火墙(WAF)来过滤恶意请求,阻止对图像代理REST API端点的未经授权访问。此外,可以限制WordPress服务器的访问权限,只允许必要的网络流量通过,从而降低SSRF漏洞的潜在影响。在升级后,请确认插件已成功更新,并且图像代理功能正常工作。
更新到 1.0.3 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-1294描述了WordPress All In One Image Viewer Block插件中存在的服务器端请求伪造(SSRF)漏洞,允许攻击者发起任意Web请求。
如果您正在使用All In One Image Viewer Block插件的版本1.0.0到1.0.2,则您可能受到此漏洞的影响。
请立即升级All In One Image Viewer Block插件至1.0.3版本或更高版本。
虽然目前尚未观察到大规模利用活动,但由于该漏洞易于利用,预计未来可能会被广泛利用。
请访问All In One Image Viewer Block插件的官方网站或WordPress插件目录,查找有关CVE-2026-1294的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。