Escanear grátis
HIGHCVE-2026-3892CVSS 8.1

CVE-2026-3892: Arbitrary File Access in Motors Plugin

Plataforma

wordpress

Componente

motors-car-dealership-classified-listings

Corrigido em

1.4.108

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-3892 afeta o plugin Motors – Car Dealership & Classified Listings para WordPress, permitindo acesso arbitrário a arquivos. Um atacante autenticado, com permissões de assinante ou superiores, pode explorar essa falha para deletar arquivos no servidor. As versões afetadas são 1.0.0 até 1.4.107, sendo corrigida na versão 1.4.108.

WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis

Impacto e Cenários de Ataque

A exploração bem-sucedida desta vulnerabilidade permite que um atacante autenticado, mesmo com acesso de nível de assinante, delete arquivos críticos no servidor WordPress. Isso pode levar à perda de dados, interrupção do serviço e, potencialmente, à comprometimento total do sistema. A deleção de arquivos de configuração ou arquivos do sistema operacional pode causar instabilidade ou tornar o servidor inutilizável. Embora a vulnerabilidade exija autenticação, a facilidade de obtenção de credenciais de usuário em ambientes WordPress torna o risco significativo.

Contexto de Exploração

A vulnerabilidade foi publicada em 2026-05-14. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A probabilidade de exploração é considerada média, devido à necessidade de autenticação, mas o impacto potencial é alto. Não está listada no KEV (Known Exploited Vulnerabilities) no momento da publicação.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios2 relatórios de ameaças

CISA SSVC

Exploraçãonone
Automatizávelno
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H8.1HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityNoneRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Nenhum — sem impacto na confidencialidade.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componentemotors-car-dealership-classified-listings
Fornecedorwordfence
Versão mínima1.0.0
Versão máxima1.4.107
Corrigido em1.4.108

Classificação de Fraqueza (CWE)

CWE-73

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativas

A mitigação primária é a atualização imediata para a versão 1.4.108 do plugin Motors – Car Dealership & Classified Listings. Se a atualização imediata não for possível, implemente controles de acesso mais rigorosos para limitar as permissões dos usuários com acesso de assinante. Considere a utilização de um Web Application Firewall (WAF) com regras para bloquear solicitações suspeitas que tentem manipular o caminho do arquivo. Monitore os logs do servidor WordPress em busca de tentativas de acesso ou modificação de arquivos não autorizados.

Como corrigir

Atualize para a versão 1.4.108, ou uma versão corrigida mais recente

Perguntas frequentes

O que é CVE-2026-3892 — Acesso Arbitrário a Arquivos no plugin Motors?

CVE-2026-3892 é uma vulnerabilidade de Acesso Arbitrário a Arquivos no plugin Motors – Car Dealership & Classified Listings para WordPress, permitindo a deleção de arquivos por usuários autenticados.

Estou afetado pelo CVE-2026-3892 no plugin Motors?

Sim, se você estiver usando o plugin Motors – Car Dealership & Classified Listings nas versões de 1.0.0 a 1.4.107, você está afetado por esta vulnerabilidade.

Como corrigir CVE-2026-3892 no plugin Motors?

A correção é atualizar o plugin Motors – Car Dealership & Classified Listings para a versão 1.4.108 ou superior. Implemente controles de acesso mais rigorosos como medida temporária.

CVE-2026-3892 está sendo ativamente explorado?

Atualmente, não há relatos de exploração ativa, mas a vulnerabilidade é considerada de alto impacto e pode ser explorada no futuro.

Onde posso encontrar o aviso oficial do plugin Motors para CVE-2026-3892?

Verifique o site oficial do plugin Motors ou o repositório de plugins do WordPress para o aviso oficial e as instruções de atualização.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis
ao vivoverificação gratuita

Escaneie seu projeto WordPress agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...