Apa yang terjadi
CVE-2026-40775 (CVSS 7.3 HIGH) dipublikasikan 2026-06-15. Plugin WordPress Royal MCP dalam versi ≤ 1.4.2 mengandung kerentanan broken access control tanpa autentikasi, memungkinkan penyerang jarak jauh berinteraksi dengan fungsi server MCP tanpa melakukan autentikasi.
Mengapa penting
Plugin MCP untuk WordPress mengekspos endpoint alat dan sumber daya kepada agen AI. Bypass kontrol akses tanpa autentikasi pada plugin semacam itu dapat memungkinkan penyerang memanggil alat MCP, membaca sumber daya yang dilayani MCP, atau memanipulasi data yang diekspos kepada agen AI — secara langsung mempengaruhi batas keamanan antara server web dan agen AI apa pun yang terhubung melalui MCP.
Vektor serangan
Penyerang tanpa autentikasi memanfaatkan broken access control dalam plugin WordPress Royal MCP untuk mengakses atau memanipulasi sumber daya yang diekspos MCP tanpa autentikasi.
Sistem yang terdampak
Plugin WordPress Royal MCP ≤ 1.4.2
Mitigasi
Perbarui plugin Royal MCP ke versi > 1.4.2. Pemberitahuan Patchstack: https://patchstack.com/database/wordpress/plugin/royal-mcp/vulnerability/wordpress-royal-mcp-plugin-1-4-2-broken-access-control-vulnerability