Apa yang terjadi
CVE-2026-10750 (CVSS 8.1 High), dipublikasikan 2026-07-01, mengungkapkan bahwa plugin WordPress Royal MCP mengekspos endpoint alat MCP yang melewati pemeriksaan kemampuan setelah autentikasi token awal. Ini adalah pola otorisasi yang hilang di seluruh mayoritas permukaan alat MCP-nya, bukan cacat terisolasi.
Mengapa penting
Plugin MCP WordPress semakin banyak digunakan untuk menghubungkan agen AI ke manajemen konten situs web. Otorisasi yang hilang pada alat MCP berarti pengguna yang diautentikasi apa pun (termasuk pelanggan hak istimewa rendah) dapat memanfaatkan permukaan agen AI untuk mengekstraksi konten pribadi, menghitung pengguna situs untuk serangan bertarget, atau memodifikasi situs secara destruktif — semuanya melalui antarmuka MCP yang dirancang untuk dapat diakses agen.
Vektor serangan
Setelah autentikasi token, mayoritas alat Royal MCP tidak melakukan pemeriksaan kemampuan. Pengguna yang diautentikasi apa pun dengan peran hak istimewa rendah seperti Subscriber dapat memanggil alat MCP untuk membaca posting pribadi, menghitung semua pengguna dan peran mereka, serta membuat, memodifikasi, atau menghapus konten situs — melewati kontrol akses berbasis peran WordPress.
Sistem yang terdampak
Plugin WordPress Royal MCP sebelum 1.4.26
Mitigasi
Upgrade plugin WordPress Royal MCP ke 1.4.26 atau lebih baru. Penasihat WPScan: https://wpscan.com/vulnerability/8678ef91-ff05-43a1-a8e3-6d35da548826/