| Identifiant CVE | CVE-2026-6674 |
|---|---|
| Type | Injection SQL (SQL Injection) |
| Composant affecté | Plugin WordPress CMS für Motorrad Werkstätten <= 1.0.0 |
| Paramètre vulnérable | arttype |
| Vecteur CVSS | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Score CVSS | 6.5 — Medium |
| Publié le | 20 avril 2026 |
| Mis à jour le | 20 avril 2026 |
| Découverte par | Seckhmet |
| Niveau d'accès requis | Authentifié — Subscriber et au-dessus |
| Correctif disponible | Non — aucun correctif connu à ce jour |
Une vulnérabilité de type Injection SQL a été identifiée dans le plugin WordPress CMS für Motorrad Werkstätten dans toutes les versions jusqu'à 1.0.0 incluse.
La faille provient d'un échappement insuffisant du paramètre arttype fourni par l'utilisateur,
combiné à un manque de préparation des requêtes SQL existantes. Cette absence de contrôle permet à un attaquant
authentifié disposant d'un accès de niveau Subscriber ou supérieur d'ajouter des requêtes SQL supplémentaires
aux requêtes existantes, afin d'extraire des informations sensibles de la base de données.
Aucun correctif n'est disponible à ce jour. Il est recommandé de désinstaller le plugin et de rechercher une alternative maintenue. Si le plugin doit rester actif, restreindre les inscriptions sur le site WordPress pour limiter l'accès des comptes Subscriber aux fonctionnalités vulnérables.
Pour les développeurs souhaitant corriger le problème, toutes les requêtes SQL doivent utiliser des
requêtes préparées ($wpdb->prepare()) et les paramètres utilisateur
doivent être correctement échappés avant toute utilisation dans une requête.