Vulnerabilities ›

CVE-2026-3892

High

CWE-73 — Weakness Type

                    Published: May 14, 2026                      ·  Modified: May 21, 2026                      ·  Source: NVD                

CVSS v3

8.1

🔗 NVD Official

📄 Description (English)

The Motors – Car Dealership & Classified Listings Plugin plugin for WordPress is vulnerable to arbitrary file deletion in all versions up to, and including, 1.4.107. This is due to insufficient file path validation in the become-dealer logo upload flow. The plugin allows any authenticated user to set an arbitrary filesystem path via the profile update handler. This makes it possible for authenticated attackers, with subscriber level access and above, to delete arbitrary files on the server.

🤖 AI Executive Summary

The Motors WordPress plugin versions up to 1.4.107 contains an arbitrary file deletion vulnerability allowing authenticated subscribers to delete any server files through insufficient path validation in the logo upload feature. Attackers can exploit the profile update handler to specify arbitrary filesystem paths, enabling complete file system compromise.

📄 Description (Arabic)

ملحق Motors للتجار والإعلانات المصنفة في WordPress يحتوي على ثغرة خطيرة في التحقق من صحة مسار الملف في عملية رفع شعار الموزع. يمكن لأي مستخدم مصرح بمستوى المشترك أو أعلى حذف ملفات عشوائية على الخادم من خلال معالج تحديث الملف الشخصي. هذا يسمح بالوصول غير المصرح به والتأثير على سلامة النظام.

🤖 ملخص تنفيذي (AI)

ملحق Motors لـ WordPress حتى الإصدار 1.4.107 يحتوي على ثغرة حذف ملفات عشوائية تسمح للمستخدمين المصرحين بحذف أي ملفات على الخادم من خلال التحقق غير الكافي للمسار. يمكن للمهاجمين استغلال معالج تحديث الملف الشخصي لتحديد مسارات نظام الملفات العشوائية.

🤖 AI Intelligence Analysis Analyzed: May 20, 2026 05:48

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1199 T1566 T1204

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update the Motors plugin to version 1.4.108 or later immediately. Implement strict input validation and sanitization for all file path parameters in the profile update handler. Apply principle of least privilege to file system operations and restrict file upload directories. Monitor server logs for suspicious file deletion activities and implement Web Application Firewall rules to block path traversal attempts.

🔧 خطوات المعالجة (العربية)

قم بتحديث ملحق Motors إلى الإصدار 1.4.108 أو أحدث فوراً. طبق التحقق الصارم من المدخلات والتطهير لجميع معاملات مسار الملف في معالج تحديث الملف الشخصي. طبق مبدأ أقل صلاحية على عمليات نظام الملفات وقيد مجلدات رفع الملفات. راقب سجلات الخادم للأنشطة المريبة وطبق قواعد جدار الحماية لحجب محاولات اجتياز المسار.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1

🔵 SAMA CSF

ID.RA-1 PR.AC-1 PR.AC-3

🟡 ISO 27001:2022

A.6.1.1 A.9.1.1 A.9.4.3

🔗 References & Sources 2

🔗

https://plugins.trac.wordpress.org/changeset/3505874/

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/52cbc6a4-9825-4b26-8653-0c75c...

security@wordfence.com

📊 CVSS Score

8.1

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.1

CWECWE-73

EPSS0.05%

Exploit No

Patch ✗ No

Published 2026-05-14

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-73

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-3892

Introduce Yourself

Sign In Required