Kerentanan  ·  2026-07-02

Plugin WordPress Royal MCP — Pengguna Hak Istimewa Rendah Dapat Memanggil Alat MCP Tanpa Batasan Termasuk Konten Pribadi dan Enumerasi Pengguna

KerentananHigh dampakGlobalCVE-2026-10750
CVE-2026-10750 (CVSS 8.1 High), dipublikasikan 2026-07-01, mengungkapkan bahwa plugin WordPress Royal MCP mengekspos endpoint alat MCP yang melewati pemeriksaan kemampuan setelah autentikasi token awal. Ini adalah pola otorisasi yang hilang di seluruh mayoritas permukaan alat MCP-nya, bukan cacat terisolasi.
Plugin MCP WordPress semakin banyak digunakan untuk menghubungkan agen AI ke manajemen konten situs web. Otorisasi yang hilang pada alat MCP berarti pengguna yang diautentikasi apa pun (termasuk pelanggan hak istimewa rendah) dapat memanfaatkan permukaan agen AI untuk mengekstraksi konten pribadi, menghitung pengguna situs untuk serangan bertarget, atau memodifikasi situs secara destruktif — semuanya melalui antarmuka MCP yang dirancang untuk dapat diakses agen.
Setelah autentikasi token, mayoritas alat Royal MCP tidak melakukan pemeriksaan kemampuan. Pengguna yang diautentikasi apa pun dengan peran hak istimewa rendah seperti Subscriber dapat memanggil alat MCP untuk membaca posting pribadi, menghitung semua pengguna dan peran mereka, serta membuat, memodifikasi, atau menghapus konten situs — melewati kontrol akses berbasis peran WordPress.
Plugin WordPress Royal MCP sebelum 1.4.26
Upgrade plugin WordPress Royal MCP ke 1.4.26 atau lebih baru. Penasihat WPScan: https://wpscan.com/vulnerability/8678ef91-ff05-43a1-a8e3-6d35da548826/
Sumber
NVD CVE-2026-10750WPScan AdvisoryGitHub Advisory GHSA-mggr-4wrj-4f4g
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →