Escanear grátis

Esta página ainda não foi traduzida para o seu idioma. Exibindo conteúdo em inglês enquanto trabalhamos nisso.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-3892CVSS 8.1

CVE-2026-3892: Arbitrary File Access in Motors Plugin

Plataforma

wordpress

Componente

motors-car-dealership-classified-listings

Corrigido em

1.4.108

Ver no NVD
Salvar
Traduzindo para o seu idioma…

CVE-2026-3892 is an arbitrary file access vulnerability discovered in the Motors – Car Dealership & Classified Listings Plugin for WordPress. This flaw allows authenticated users, even those with subscriber-level access, to delete files on the server. The vulnerability impacts versions 1.0.0 through 1.4.107, and a patch is available in version 1.4.108.

WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis

Impacto e Cenários de Ataquetraduzindo…

An attacker exploiting this vulnerability can delete critical system files, potentially leading to a complete compromise of the WordPress installation. This could include deleting configuration files, database connections, or even core WordPress files. The ability to delete arbitrary files grants significant control over the server, enabling attackers to disrupt operations, steal sensitive data, or install malicious code. While requiring authentication, the low privilege level needed (subscriber) expands the potential attack surface significantly, as many WordPress sites have numerous users with this access level.

Contexto de Exploraçãotraduzindo…

This vulnerability was published on 2026-05-14. Currently, there are no known public exploits or active campaigns targeting this specific vulnerability. The ease of exploitation, combined with the widespread use of WordPress and the plugin, suggests it could become a target for opportunistic attackers. Monitor security advisories and threat intelligence feeds for any indications of exploitation.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios2 relatórios de ameaças

CISA SSVC

Exploraçãonone
Automatizávelno
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H8.1HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityNoneRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Nenhum — sem impacto na confidencialidade.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componentemotors-car-dealership-classified-listings
Fornecedorwordfence
Versão mínima1.0.0
Versão máxima1.4.107
Corrigido em1.4.108

Classificação de Fraqueza (CWE)

CWE-73

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativastraduzindo…

The primary mitigation is to immediately upgrade the Motors plugin to version 1.4.108 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider restricting file upload permissions for users with subscriber roles. Implement a Web Application Firewall (WAF) rule to block requests containing suspicious file paths in the logo upload parameter. Regularly review user permissions and ensure the principle of least privilege is enforced. After upgrading, confirm the fix by attempting to upload a file with a deliberately invalid path and verifying that the upload fails with an appropriate error message.

Como corrigir

Atualize para a versão 1.4.108, ou uma versão corrigida mais recente

Perguntas frequentestraduzindo…

What is CVE-2026-3892 — Arbitrary File Access in Motors Plugin?

CVE-2026-3892 is a HIGH severity vulnerability in the Motors plugin for WordPress, allowing authenticated users to delete arbitrary files on the server due to insufficient file path validation during logo uploads.

Am I affected by CVE-2026-3892 in Motors Plugin?

You are affected if your WordPress site uses the Motors plugin and is running version 1.0.0 through 1.4.107. Check your plugin version immediately.

How do I fix CVE-2026-3892 in Motors Plugin?

Upgrade the Motors plugin to version 1.4.108 or later to resolve the vulnerability. If immediate upgrade is not possible, restrict file upload permissions for subscriber roles and implement WAF rules.

Is CVE-2026-3892 being actively exploited?

As of the publication date, there are no known public exploits or active campaigns targeting CVE-2026-3892, but the vulnerability's ease of exploitation makes it a potential target.

Where can I find the official Motors plugin advisory for CVE-2026-3892?

Refer to the official Motors plugin website or WordPress plugin repository for the latest advisory and update information regarding CVE-2026-3892.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
WordPress

Detecte esta CVE no seu projeto

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátis
ao vivoverificação gratuita

Escaneie seu projeto WordPress agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...