Плагин cms-fuer-motorrad-werkstaetten для WordPress уязвим к подделке межсайтовых запросов в версиях до 1.0.0 включительно. Это связано с отсутствием проверки nonce во всех восьми обработчиках удаления AJAX: cars_cfmw_d_vehicle, contact_cfmw_d_contact, поставщики_cfmw_d_supplier, квитанции_cfmw_d_receipt, позиции_cfmw_d_position, каталоги_cfmw_d_article, stock_cfmw_d_item и settings_cfmw_d_catalog. Ни один из этих обработчиков не вызывает check_ajax_referer() или wp_verify_nonce(), а также не выполняет никаких проверок возможностей через current_user_can().
Это позволяет неаутентифицированным злоумышленникам удалять произвольные транспортные средства, контакты, поставщиков, квитанции, позиции, статьи каталогов, товары на складе или целые каталоги поставщиков с помощью поддельного запроса при условии, что они могут обманом заставить вошедшего в систему пользователя выполнить такое действие, как щелчок по ссылке на вредоносную страницу.
Показать оригинальное описание (EN)
The cms-fuer-motorrad-werkstaetten plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to and including 1.0.0. This is due to missing nonce validation on all eight AJAX deletion handlers: vehicles_cfmw_d_vehicle, contacts_cfmw_d_contact, suppliers_cfmw_d_supplier, receipts_cfmw_d_receipt, positions_cfmw_d_position, catalogs_cfmw_d_article, stock_cfmw_d_item, and settings_cfmw_d_catalog. None of these handlers call check_ajax_referer() or wp_verify_nonce(), nor do they perform any capability checks via current_user_can(). This makes it possible for unauthenticated attackers to delete arbitrary vehicles, contacts, suppliers, receipts, positions, catalog articles, stock items, or entire supplier catalogs via a forged request, provided they can trick a logged-in user into performing an action such as clicking a link to a malicious page.
Характеристики атаки
Последствия
Строка CVSS v3.1