Plataforma
wordpress
Componente
cms-fuer-motorrad-werkstaetten
Corrigido em
1.0.1
1.0.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin cms-fuer-motorrad-werkstaetten para WordPress. Essa falha, presente em versões até 1.0.0, ocorre devido à ausência de validação de nonce nos handlers AJAX de exclusão. A exploração bem-sucedida permite a um atacante executar ações não autorizadas em nome de um usuário autenticado, como a exclusão de dados sensíveis.
A vulnerabilidade CSRF no cms-fuer-motorrad-werkstaetten permite que um atacante execute ações arbitrárias no sistema WordPress, especificamente a exclusão de dados. O atacante pode, por exemplo, remover veículos, contatos, fornecedores, recibos, posições, catálogos e configurações, comprometendo a integridade dos dados armazenados. Como a validação de nonce está ausente, qualquer usuário autenticado no WordPress pode ser vítima de um ataque CSRF, mesmo que não tenha conhecimento da vulnerabilidade. A ausência de verificações de capacidade agrava o problema, permitindo que atacantes com privilégios limitados causem danos significativos.
A vulnerabilidade foi divulgada em 17 de abril de 2026. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade CSRF a torna um alvo potencial para exploração em campanhas direcionadas.
WordPress websites utilizing the cms-fuer-motorrad-werkstaetten plugin, particularly those running versions prior to the patched release, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially be leveraged to attack others.
• wordpress / composer / npm:
grep -r 'vehicles_cfmw_d_vehicle|contacts_cfmw_d_contact|suppliers_cfmw_d_supplier|receipts_cfmw_d_receipt|positions_cfmw_d_position|catalogs_cfmw_d_article|stock_cfmw_d_item|settings_cfmw_d_catalog' /var/www/html/wp-content/plugins/cms-fuer-motorrad-werkstaetten/• generic web:
curl -I https://example.com/wp-admin/admin-ajax.php?action=vehicles_cfmw_d_vehicle | grep -i '200 ok'disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A mitigação imediata para CVE-2026-6451 envolve a atualização do plugin cms-fuer-motorrad-werkstaetten para a versão corrigida, assim que disponível. Enquanto a atualização não for possível, considere implementar regras de firewall de aplicação web (WAF) para bloquear requisições AJAX suspeitas. Além disso, reforce as políticas de segurança do WordPress, exigindo autenticação multifator e restringindo o acesso a funções administrativas. Implementar um sistema de validação de nonce robusto nos handlers AJAX é crucial para prevenir futuros ataques CSRF.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-6451 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin cms-fuer-motorrad-werkstaetten para WordPress, permitindo a exclusão não autorizada de dados.
Se você usa o plugin cms-fuer-motorrad-werkstaetten em versões até 1.0.0, você está potencialmente afetado. Verifique a versão do plugin e atualize imediatamente.
Atualize o plugin para a versão corrigida assim que disponível. Enquanto isso, implemente regras WAF e reforce a segurança do WordPress.
Embora não haja confirmação de exploração ativa, a natureza da vulnerabilidade CSRF a torna um alvo potencial.
Verifique o site oficial do plugin ou o repositório WordPress para o advisory e informações de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.