El plugin cms-fuer-motorrad-werkstaetten para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 1.0.0 incluida. Esto se debe a la falta de validación de nonce en los ocho manejadores de eliminación AJAX: vehicles_cfmw_d_vehicle, contacts_cfmw_d_contact, suppliers_cfmw_d_supplier, receipts_cfmw_d_receipt, positions_cfmw_d_position, catalogs_cfmw_d_article, stock_cfmw_d_item y settings_cfmw_d_catalog. Ninguno de estos manejadores llama a check_ajax_referer() o wp_verify_nonce(), ni tampoco

Un atacante podría explotar esta vulnerabilidad para eliminar datos críticos del sistema, como vehículos, contactos, proveedores, recibos, posiciones, catálogos y configuraciones. Esto podría resultar en la pérdida de información importante, interrupción de las operaciones y daño a la reputación. La falta de validación de nonce significa que un atacante puede crear solicitudes maliciosas que se ejecutan con los privilegios del usuario autenticado, sin necesidad de conocer sus credenciales. La severidad de este ataque se agrava por la naturaleza sensible de los datos gestionados por el plugin, que a menudo incluye información confidencial de clientes y proveedores.

WordPress websites utilizing the cms-fuer-motorrad-werkstaetten plugin, particularly those running versions prior to the patched release, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially be leveraged to attack others.

• wordpress / composer / npm:

grep -r 'vehicles_cfmw_d_vehicle|contacts_cfmw_d_contact|suppliers_cfmw_d_supplier|receipts_cfmw_d_receipt|positions_cfmw_d_position|catalogs_cfmw_d_article|stock_cfmw_d_item|settings_cfmw_d_catalog' /var/www/html/wp-content/plugins/cms-fuer-motorrad-werkstaetten/

• generic web:

curl -I https://example.com/wp-admin/admin-ajax.php?action=vehicles_cfmw_d_vehicle | grep -i '200 ok'

1. 2026-04-17Disclosure

   disclosure

1. Reservado2026-04-16
2. Publicada2026-04-17
3. Modificada2026-04-22
4. EPSS actualizado2026-04-24

La mitigación principal es actualizar el plugin cms-fuer-motorrad-werkstaetten a la última versión disponible, que debería incluir la validación de nonce necesaria. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la restricción del acceso a las funciones de eliminación solo a usuarios autorizados y la implementación de un Web Application Firewall (WAF) que pueda detectar y bloquear solicitudes XSRF. Además, se puede considerar la implementación de un sistema de doble autenticación (2FA) para agregar una capa adicional de seguridad a las cuentas de usuario. Después de la actualización, confirme que la validación de nonce está implementada revisando el código fuente del plugin o utilizando herramientas de análisis de seguridad.