← voltar
CVE-2026-7859

Motors Car Dealership & Classified Listings < 1.4.110 - Unauthenticated Post-Meta Write via stm_ajax_add_a_car_media

CVSS 5.3 MEDIUMEPSS 0.1%CWE-862
Vexday Risk Score
33Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
Maturidade do exploit
Prova de conceito
Existe prova de conceito pública, mas ainda não automatizada.
CVSS 5.3EPSS 0.1%KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
22 jun 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
The Motors WordPress plugin before 1.4.110 does not have proper authorisation and CSRF checks on one of its AJAX actions, allowing unauthenticated attackers to modify arbitrary post metadata, such as the gallery, featured image and, on WooCommerce sites, product prices.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Produtos afetados
Unknown · Motors
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.