Le plugin cms-fuer-motorrad-werkstaetten pour WordPress est vulnérable à Cross-Site Request Forgery dans les versions jusqu'à et y compris 1.0.0. Ceci est dû à la validation manquante de nonce pour les huit gestionnaires de suppression AJAX : vehicles_cfmw_d_vehicle, contacts_cfmw_d_contact, suppliers_cfmw_d_supplier, receipts_cfmw_d_receipt, positions_cfmw_d_position, catalogs_cfmw_d_article, stock_cfmw_d_item et settings_cfmw_d_catalog. Aucun de ces gestionnaires n'appelle check_ajax_referer() ou wp_verify_nonce(), ni ne

La vulnérabilité CSRF dans cms-fuer-motorrad-werkstaetten permet à un attaquant d'exploiter le contexte de confiance d'un utilisateur authentifié. Un attaquant peut créer une requête malveillante (par exemple, un lien ou un formulaire) qui, lorsqu'elle est exécutée par un utilisateur connecté, effectue des actions non désirées, telles que la suppression de véhicules, de contacts, de fournisseurs, de reçus, de positions, de catalogues ou de paramètres. L'attaquant pourrait ainsi compromettre l'intégrité des données, modifier les configurations du site ou même prendre le contrôle de certaines fonctionnalités. L'absence de vérification nonce sur les huit gestionnaires AJAX de suppression rend l'exploitation particulièrement simple.

WordPress websites utilizing the cms-fuer-motorrad-werkstaetten plugin, particularly those running versions prior to the patched release, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially be leveraged to attack others.

• wordpress / composer / npm:

grep -r 'vehicles_cfmw_d_vehicle|contacts_cfmw_d_contact|suppliers_cfmw_d_supplier|receipts_cfmw_d_receipt|positions_cfmw_d_position|catalogs_cfmw_d_article|stock_cfmw_d_item|settings_cfmw_d_catalog' /var/www/html/wp-content/plugins/cms-fuer-motorrad-werkstaetten/

• generic web:

curl -I https://example.com/wp-admin/admin-ajax.php?action=vehicles_cfmw_d_vehicle | grep -i '200 ok'

1. 2026-04-17Disclosure

   disclosure

1. Réservé2026-04-16
2. Publiée2026-04-17
3. Modifiée2026-04-22
4. EPSS mis à jour2026-04-24

La mitigation immédiate consiste à mettre à jour le plugin cms-fuer-motorrad-werkstaetten vers une version corrigée dès qu'elle est disponible. En attendant la mise à jour, il est possible de renforcer la sécurité en utilisant un Web Application Firewall (WAF) configuré pour bloquer les requêtes CSRF. Un WAF peut être configuré pour vérifier la présence de tokens CSRF valides dans les requêtes. Il est également conseillé de sensibiliser les utilisateurs à ne pas cliquer sur des liens suspects ou à ouvrir des emails provenant de sources inconnues. Après la mise à jour, vérifiez que les gestionnaires AJAX de suppression fonctionnent correctement et qu'ils nécessitent une authentification appropriée.