| Identifiant CVE | CVE-2026-6451 |
|---|---|
| Type | Cross-Site Request Forgery (CSRF) |
| Composant affecté | Plugin WordPress CMS für Motorrad Werkstätten <= 1.0.0 |
| Vecteur CVSS | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
| Score CVSS | 4.3 — Medium |
| Publié le | 16 avril 2026 |
| Mis à jour le | 17 avril 2026 |
| Découverte par | Seckhmet |
| Correctif disponible | Non — aucun correctif connu à ce jour |
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été identifiée dans le plugin WordPress CMS für Motorrad Werkstätten dans toutes les versions jusqu'à 1.0.0 incluse.
La faille résulte de l'absence de validation de nonce sur les huit gestionnaires AJAX de suppression du plugin :
vehicles_cfmw_d_vehicle, contacts_cfmw_d_contact, suppliers_cfmw_d_supplier,
receipts_cfmw_d_receipt, positions_cfmw_d_position, catalogs_cfmw_d_article,
stock_cfmw_d_item et settings_cfmw_d_catalog.
Aucun de ces gestionnaires n'appelle check_ajax_referer() ou wp_verify_nonce(),
et aucun ne vérifie les permissions via current_user_can().
Cette absence de contrôle permet à un attaquant non authentifié de supprimer des véhicules, contacts, fournisseurs, reçus, positions, articles de catalogue, articles en stock ou des catalogues entiers via une requête forgée, à condition de parvenir à inciter un utilisateur connecté à effectuer une action (par exemple, en cliquant sur un lien menant vers une page malveillante).
Aucun correctif n'est disponible à ce jour. Il est recommandé de désinstaller le plugin et de rechercher une alternative maintenue. Si le plugin doit rester actif, restreindre l'accès aux fonctionnalités AJAX concernées et sensibiliser les utilisateurs administrateurs aux risques de phishing.
Pour les développeurs souhaitant corriger le problème, chaque gestionnaire AJAX doit appeler
check_ajax_referer() et vérifier les permissions avec current_user_can()
avant d'effectuer toute opération de suppression.