Platform
wordpress
Component
cms-fuer-motorrad-werkstaetten
Opgelost in
1.0.1
1.0.1
De cms-fuer-motorrad-werkstaetten plugin voor WordPress vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde acties uit te voeren namens een geauthenticeerde gebruiker. De kwetsbaarheid is aanwezig in versies tot en met 1.0.0 en kan leiden tot datawijziging of -verlies. Een beveiligde versie is beschikbaar.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de data binnen de cms-fuer-motorrad-werkstaetten plugin. Dit omvat het verwijderen van voertuigen, contacten, leveranciers, bonnen, posities, catalogi en instellingen. Aangezien de plugin waarschijnlijk wordt gebruikt voor het beheer van motorwerkplaatsgegevens, kan dit leiden tot aanzienlijke operationele verstoringen en potentieel financieel verlies. De impact is verhoogd omdat de kwetsbaarheid betrekking heeft op meerdere AJAX-handlers, waardoor het aanvalsoppervlak aanzienlijk wordt vergroot. Een aanvaller kan deze kwetsbaarheid gebruiken om de integriteit van de data te compromitteren en de functionaliteit van de plugin te verstoren.
Op dit moment is er geen publieke exploitatie van deze kwetsbaarheid bekend. De kwetsbaarheid is openbaar gemaakt op 2026-04-17. De CVSS score is 4.3 (Medium), wat duidt op een gematigd risico. Er zijn geen indicaties van actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de complexiteit van CSRF-aanvallen maakt het waarschijnlijk dat deze in de toekomst kan worden misbruikt.
WordPress websites utilizing the cms-fuer-motorrad-werkstaetten plugin, particularly those running versions prior to the patched release, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially be leveraged to attack others.
• wordpress / composer / npm:
grep -r 'vehicles_cfmw_d_vehicle|contacts_cfmw_d_contact|suppliers_cfmw_d_supplier|receipts_cfmw_d_receipt|positions_cfmw_d_position|catalogs_cfmw_d_article|stock_cfmw_d_item|settings_cfmw_d_catalog' /var/www/html/wp-content/plugins/cms-fuer-motorrad-werkstaetten/• generic web:
curl -I https://example.com/wp-admin/admin-ajax.php?action=vehicles_cfmw_d_vehicle | grep -i '200 ok'disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar een beveiligde versie van de cms-fuer-motorrad-werkstaetten plugin zodra deze beschikbaar is. Als een directe upgrade niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die CSRF-tokens valideert voor de AJAX-verwijderhandlers. Daarnaast kan het handmatig controleren van alle wijzigingen in de plugin-data helpen om ongeautoriseerde acties te detecteren. Controleer de WordPress plugin directory voor updates. Na de upgrade, controleer de plugin-instellingen en logboeken op verdachte activiteit.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-6451 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de cms-fuer-motorrad-werkstaetten WordPress plugin, waardoor ongeauthenticeerde aanvallers data kunnen wijzigen.
U bent getroffen als u de cms-fuer-motorrad-werkstaetten plugin gebruikt in versie 1.0.0 of lager.
Upgrade de plugin naar de nieuwste versie zodra deze beschikbaar is. Implementeer een WAF als een tijdelijke workaround.
Er zijn momenteel geen bekende actieve exploitatiecampagnes, maar het risico bestaat.
Controleer de WordPress plugin directory en de website van de plugin-ontwikkelaar voor updates en advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.