何が起きたか
CVE-2026-40775 (CVSS 7.3 HIGH) は 2026-06-15 に公開されました。バージョン ≤ 1.4.2 の Royal MCP WordPress プラグインには認証なしの不正なアクセス制御脆弱性が含まれており、リモート攻撃者が認証なしで MCP サーバー機能と相互作用することを許可します。
なぜ重要か
WordPress 用の MCP プラグインは AI エージェントにツールおよびリソースエンドポイントを公開します。そのようなプラグイン上の認証なしのアクセス制御バイパスにより、攻撃者は MCP ツールを呼び出したり、MCP で提供されるリソースを読み取ったり、AI エージェントに公開されるデータを操作したりする可能性があります — これは Web サーバーと MCP 経由で接続する AI エージェント間のセキュリティ境界に直接影響を与えます。
攻撃経路
認証なしの攻撃者が Royal MCP WordPress プラグインの不正なアクセス制御を悪用して、認証なしで MCP で公開されるリソースにアクセスまたは操作します。
影響を受けるシステム
Royal MCP WordPress プラグイン ≤ 1.4.2
緩和策
Royal MCP プラグインをバージョン > 1.4.2 に更新してください。Patchstack アドバイザリ: https://patchstack.com/database/wordpress/plugin/royal-mcp/vulnerability/wordpress-royal-mcp-plugin-1-4-2-broken-access-control-vulnerability