WordPressのcms-fuer-motorrad-werkstaettenプラグインは、バージョン1.0.0以前でCross-Site Request Forgery (CSRF)の脆弱性を抱えています。これは、8つのAJAX削除ハンドラ（vehicles_cfmw_d_vehicle, contacts_cfmw_d_contact, suppliers_cfmw_d_supplier, receipts_cfmw_d_receipt, positions_cfmw_d_position, catalogs_cfmw_d_article, stock_cfmw_d_item, settings_cfmw_d_catalog）すべてにおいてnonce検証が欠落していることが原因です。これらのハンドラはcheck_ajax_referer()またはwp_verify_nonce()を呼び出しておらず、また

このXSRF脆弱性は、攻撃者がWordPressサイトの管理者の権限を悪用し、不正なリクエストを送信することを可能にします。具体的には、攻撃者は悪意のあるウェブページやメールを通じて、ユーザーが意図しない操作を実行させることができます。例えば、車両データ、顧客連絡先、サプライヤー情報、請求書、在庫情報、カタログ情報などの重要なデータを削除することが可能です。攻撃者は、これらのデータを改ざんしたり、削除したりすることで、ビジネスオペレーションに深刻な影響を与える可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく低下させるリスクを伴います。

WordPress websites utilizing the cms-fuer-motorrad-werkstaetten plugin, particularly those running versions prior to the patched release, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially be leveraged to attack others.

• wordpress / composer / npm:

grep -r 'vehicles_cfmw_d_vehicle|contacts_cfmw_d_contact|suppliers_cfmw_d_supplier|receipts_cfmw_d_receipt|positions_cfmw_d_position|catalogs_cfmw_d_article|stock_cfmw_d_item|settings_cfmw_d_catalog' /var/www/html/wp-content/plugins/cms-fuer-motorrad-werkstaetten/

• generic web:

curl -I https://example.com/wp-admin/admin-ajax.php?action=vehicles_cfmw_d_vehicle | grep -i '200 ok'

1. 2026-04-17Disclosure

   disclosure

1. 予約済み2026-04-16
2. 公開日2026-04-17
3. 更新日2026-04-22
4. EPSS 更新日2026-04-24

この脆弱性への主な対策は、プラグインを最新バージョンにアップデートすることです。アップデートが利用できない場合、WAF（Web Application Firewall）を導入し、XSRF攻撃を検知・防御するルールを設定することを検討してください。また、WordPressのセキュリティプラグインを活用し、nonce検証を強化することも有効です。さらに、ユーザーに対して、不審なリンクや添付ファイルを開かないよう注意喚起を行い、セキュリティ意識の向上を図ることが重要です。アップデート後、プラグインの機能が正常に動作することを確認してください。