CVE-2026-6451 in cms-fuer-motorrad-werkstaetten Plugin
要約
〜によって VulDB • 2026年05月22日
WordPress用プラグイン「cms-fuer-motorrad-werkstaetten」のバージョン1.0.0以前には、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在します。これは、vehicles_cfmw_d_vehicle、contacts_cfmw_d_contact、suppliers_cfmw_d_supplier、receipts_cfmw_d_receipt、positions_cfmw_d_position、catalogs_cfmw_d_article、stock_cfmw_d_item、settings_cfmw_d_catalogという8つのすべてのAJAX削除ハンドラで、nonce検証が欠落しているためです。これらのハンドラはいずれもcheck_ajax_referer()やwp_verify_nonce()を呼び出しておらず、current_user_can()による権限チェックも実行していません。これにより、ログイン中のユーザーを悪意のあるページへのリンククリックなどのアクションを実行させるように仕向けることができれば、認証されていない攻撃者は、任意の車両、連絡先、サプライヤー、領収書、ポジション、カタログ記事、在庫アイテム、またはサプライヤーカタログ全体を、偽造されたリクエストを通じて削除することが可能になります。
If you want to get best quality of vulnerability data, you may have to visit VulDB.