無料スキャン

このページはまだあなたの言語に翻訳されていません。翻訳作業中のため、英語でコンテンツを表示しています。

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-3892CVSS 8.1

CVE-2026-3892: Arbitrary File Access in Motors Plugin

プラットフォーム

wordpress

コンポーネント

motors-car-dealership-classified-listings

修正版

1.4.108

NVDで見る
保存
あなたの言語に翻訳中…

CVE-2026-3892 is an arbitrary file access vulnerability discovered in the Motors – Car Dealership & Classified Listings Plugin for WordPress. This flaw allows authenticated users, even those with subscriber-level access, to delete files on the server. The vulnerability impacts versions 1.0.0 through 1.4.107, and a patch is available in version 1.4.108.

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ翻訳中…

An attacker exploiting this vulnerability can delete critical system files, potentially leading to a complete compromise of the WordPress installation. This could include deleting configuration files, database connections, or even core WordPress files. The ability to delete arbitrary files grants significant control over the server, enabling attackers to disrupt operations, steal sensitive data, or install malicious code. While requiring authentication, the low privilege level needed (subscriber) expands the potential attack surface significantly, as many WordPress sites have numerous users with this access level.

悪用の状況翻訳中…

This vulnerability was published on 2026-05-14. Currently, there are no known public exploits or active campaigns targeting this specific vulnerability. The ease of exploitation, combined with the widespread use of WordPress and the plugin, suggests it could become a target for opportunistic attackers. Monitor security advisories and threat intelligence feeds for any indications of exploitation.

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート2 件の脅威レポート

CISA SSVC

悪用状況none
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H8.1HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントmotors-car-dealership-classified-listings
ベンダーwordfence
最小バージョン1.0.0
最大バージョン1.4.107
修正版1.4.108

弱点分類 (CWE)

CWE-73

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策翻訳中…

The primary mitigation is to immediately upgrade the Motors plugin to version 1.4.108 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider restricting file upload permissions for users with subscriber roles. Implement a Web Application Firewall (WAF) rule to block requests containing suspicious file paths in the logo upload parameter. Regularly review user permissions and ensure the principle of least privilege is enforced. After upgrading, confirm the fix by attempting to upload a file with a deliberately invalid path and verifying that the upload fails with an appropriate error message.

修正方法

バージョン 1.4.108、またはそれ以降の修正バージョンにアップデートしてください

よくある質問翻訳中…

What is CVE-2026-3892 — Arbitrary File Access in Motors Plugin?

CVE-2026-3892 is a HIGH severity vulnerability in the Motors plugin for WordPress, allowing authenticated users to delete arbitrary files on the server due to insufficient file path validation during logo uploads.

Am I affected by CVE-2026-3892 in Motors Plugin?

You are affected if your WordPress site uses the Motors plugin and is running version 1.0.0 through 1.4.107. Check your plugin version immediately.

How do I fix CVE-2026-3892 in Motors Plugin?

Upgrade the Motors plugin to version 1.4.108 or later to resolve the vulnerability. If immediate upgrade is not possible, restrict file upload permissions for subscriber roles and implement WAF rules.

Is CVE-2026-3892 being actively exploited?

As of the publication date, there are no known public exploits or active campaigns targeting CVE-2026-3892, but the vulnerability's ease of exploitation makes it a potential target.

Where can I find the official Motors plugin advisory for CVE-2026-3892?

Refer to the official Motors plugin website or WordPress plugin repository for the latest advisory and update information regarding CVE-2026-3892.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン
scanZone.liveBadgescanZone.eyebrow

WordPressプロジェクトを今すぐスキャン — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...