CVE-2026-6451 in cms-fuer-motorrad-werkstaetten PluginИнформация

Сводка

по VulDB • 22.05.2026

Плагин cms-fuer-motorrad-werkstaetten для WordPress уязвим к межсайтовой подделке запросов (CSRF) в версиях вплоть до 1.0.0 включительно. Это связано с отсутствием проверки nonce во всех восьми обработчиках AJAX для удаления: vehicles_cfmw_d_vehicle, contacts_cfmw_d_contact, suppliers_cfmw_d_supplier, receipts_cfmw_d_receipt, positions_cfmw_d_position, catalogs_cfmw_d_article, stock_cfmw_d_item и settings_cfmw_d_catalog. Ни один из этих обработчиков не вызывает функции check_ajax_referer() или wp_verify_nonce(), а также не выполняет никаких проверок прав доступа через current_user_can(). Это позволяет неаутентифицированным злоумышленникам удалять произвольные транспортные средства, контакты, поставщиков, квитанции, позиции, статьи каталогов, элементы запасов или целые каталоги поставщиков посредством поддельного запроса, при условии, что они смогут обманом заставить авторизованного пользователя выполнить действие, например, перейти по ссылке на вредоносную страницу.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

16.04.2026

Раскрытие

17.04.2026

Модерация

принято

Вход

VDB-358042

EPSS

0.00011

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6451
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6451
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6451/

ПредыдущийОбзорДалее

Interested in the pricing of exploits?

See the underground prices here!