WordPress的cms-fuer-motorrad-werkstaetten插件在版本高达包括1.0.0在内的版本中存在跨站请求伪造 (Cross-Site Request Forgery) 漏洞。这是由于所有八个AJAX删除处理程序（vehicles_cfmw_d_vehicle, contacts_cfmw_d_contact, suppliers_cfmw_d_supplier, receipts_cfmw_d_receipt, positions_cfmw_d_position, catalogs_cfmw_d_article, stock_cfmw_d_item和settings_cfmw_d_catalog）缺少nonce验证造成的。这些处理程序均未调用check_ajax_referer()或wp_verify_nonce()，也没有

该XSRF漏洞允许攻击者伪造用户请求，从而执行恶意操作。具体而言，攻击者可以利用该漏洞删除插件中的车辆、联系人、供应商、收据、位置、目录和库存等数据。由于缺乏nonce验证和能力检查，即使未经身份验证的用户也可以利用此漏洞。攻击者可以通过诱骗用户点击恶意链接或提交伪造的表单来利用此漏洞，从而导致数据泄露或系统破坏。此漏洞的潜在影响包括数据丢失、服务中断和声誉损害。

WordPress websites utilizing the cms-fuer-motorrad-werkstaetten plugin, particularly those running versions prior to the patched release, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially be leveraged to attack others.

• wordpress / composer / npm:

grep -r 'vehicles_cfmw_d_vehicle|contacts_cfmw_d_contact|suppliers_cfmw_d_supplier|receipts_cfmw_d_receipt|positions_cfmw_d_position|catalogs_cfmw_d_article|stock_cfmw_d_item|settings_cfmw_d_catalog' /var/www/html/wp-content/plugins/cms-fuer-motorrad-werkstaetten/

• generic web:

curl -I https://example.com/wp-admin/admin-ajax.php?action=vehicles_cfmw_d_vehicle | grep -i '200 ok'

1. 2026-04-17Disclosure

   disclosure

1. 已保留2026-04-16
2. 发布日期2026-04-17
3. 修改日期2026-04-22
4. EPSS 更新日期2026-04-24

为了缓解CVE-2026-6451漏洞，建议用户尽快升级到修复版本。如果无法立即升级，可以考虑实施以下缓解措施：首先，实施严格的输入验证和输出编码，以防止XSRF攻击。其次，使用安全的AJAX处理程序，确保所有请求都经过nonce验证和能力检查。第三，限制对敏感操作的访问，并实施多因素身份验证。最后，定期审查插件代码，以识别和修复潜在的安全漏洞。升级后，请确认所有AJAX处理程序都已正确实施nonce验证。