CVE-2026-6394 in Nexa Blocks Plugin
Zusammenfassung
von VulDB • 21.05.2026
Das Nexa Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE-Plugin für WordPress ist in den Versionen bis einschließlich 1.1.1 anfällig für Server-Side Request Forgery (SSRF). Dies liegt daran, dass die Funktion `import_demo()` eine vom Benutzer bereitgestellte URL im POST-Parameter `demo_json_file` akzeptiert und diese ohne jegliche URL-Validierung oder Einschränkung gegenüber internen oder privaten Netzwerkzielen direkt an `wp_remote_get()` übergibt. Das für die AJAX-Aktion erforderliche `nexa_blocks_nonce` wird über den Hook `enqueue_block_assets` mit `wp_localize_script` öffentlich im HTML-Quellcode jeder Frontend-Seite offengelegt, auf der das Plugin aktiv ist, wodurch das Nonce effektiv allen Besuchern zugänglich ist und jede beabsichtigte Authentifizierungshürde umgangen wird. Dies ermöglicht es nicht authentifizierten Angreifern, HTTP-Anfragen auf Serverseite an beliebige interne oder externe Ziele zu senden, was potenziell interne Dienste, Cloud-Metadaten-Endpunkte wie den AWS Instance Metadata Service, localhost-Dienste und andere Ressourcen, die nicht öffentlich zugänglich sein sollen, offenlegen kann. Es besteht auch ein sekundärer SSRF-Vektor, bei dem Bild-URLs, die aus der vom Angreifer kontrollierten JSON-Antwort extrahiert wurden, anschließend über einen zweiten `wp_remote_get()`-Aufruf abgerufen werden, was eine verkettete Ausnutzung durch ein speziell angefertigtes JSON-Payload ermöglicht.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.