PT-2026-40884 · WordPress · Motors – Car Dealership & Classified Listings Plugin
Leonid Semenenko
·
Publicado
2026-05-14
·
Atualizado
2026-05-14
·
CVE-2026-3892
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
The Motors – Car Dealership & Classified Listings Plugin versões anteriores a 1.4.108
Descrição
A validação insuficiente do caminho do arquivo no fluxo de upload de logotipo do become-dealer permite que usuários autenticados com nível de acesso de assinante ou superior excluam arquivos arbitrários no servidor. Isso ocorre porque o manipulador de atualização de perfil permite a definição de um caminho de sistema de arquivos arbitrário.
Recomendações
Atualize o plugin para uma versão posterior a 1.4.107.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Motors – Car Dealership & Classified Listings Plugin