CVE-2026-6451 in cms-fuer-motorrad-werkstaetten Plugininformation

Résumé

par VulDB • 22/05/2026

Le plugin WordPress cms-fuer-motorrad-werkstaetten est vulnérable à une faille de Cross-Site Request Forgery (CSRF) dans les versions 1.0.0 et antérieures. Cette vulnérabilité est due à l'absence de validation des nonces sur les huit gestionnaires AJAX de suppression suivants : vehicles_cfmw_d_vehicle, contacts_cfmw_d_contact, suppliers_cfmw_d_supplier, receipts_cfmw_d_receipt, positions_cfmw_d_position, catalogs_cfmw_d_article, stock_cfmw_d_item et settings_cfmw_d_catalog. Aucun de ces gestionnaires n'appelle check_ajax_referer() ou wp_verify_nonce(), et aucun ne vérifie les autorisations via current_user_can(). Cela permet aux attaquants non authentifiés de supprimer des véhicules, des contacts, des fournisseurs, des reçus, des positions, des articles de catalogue, des éléments de stock ou des catalogues de fournisseurs entiers au moyen d'une requête falsifiée, à condition qu'ils puissent inciter un utilisateur connecté à effectuer une action, telle que cliquer sur un lien vers une page malveillante.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

16/04/2026

Divulgation

17/04/2026

Modérer

accepté

Entrée

VDB-358042

CPE

prêt

CWE

CWE-352 (confirmé)

CVSS

4.3 (CNA)

EPSS

0.00011

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6451
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6451
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6451/

◂ Précédent Aperçu Suivant ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!