취약점  ·  2026-07-02

Royal MCP WordPress 플러그인 — 낮은 권한 사용자가 제한 없는 MCP 도구(비공개 콘텐츠 및 사용자 열거 포함) 호출 가능

취약점High 영향도GlobalCVE-2026-10750
2026-07-01에 발표된 CVE-2026-10750(CVSS 8.1 High)은 Royal MCP WordPress 플러그인이 초기 토큰 인증 후 기능 검사를 건너뛰는 MCP 도구 엔드포인트를 노출함을 드러냅니다. 이는 격리된 결함이 아닌 대부분의 MCP 도구 표면에서 누락된 인증의 패턴입니다.
WordPress MCP 플러그인은 AI 에이전트를 웹사이트 콘텐츠 관리에 연결하는 데 점점 더 많이 사용됩니다. MCP 도구에 대한 누락된 인증은 인증된 사용자(낮은 권한 구독자 포함)가 AI 에이전트 표면을 무기화하여 비공개 콘텐츠를 유출하고, 대상 공격을 위해 사이트 사용자를 열거하거나, 에이전트 접근 가능하도록 설계된 MCP 인터페이스를 통해 사이트 콘텐츠를 파괴적으로 수정할 수 있음을 의미합니다.
토큰 인증 후 Royal MCP의 대부분의 도구는 기능 검사를 수행하지 않습니다. 구독자 같은 낮은 권한 역할을 가진 인증된 사용자는 MCP 도구를 사용하여 비공개 게시물을 읽고, 모든 사용자 및 해당 역할을 열거하며, 사이트 콘텐츠를 생성, 수정 또는 삭제할 수 있습니다. WordPress의 역할 기반 접근 제어를 우회합니다.
Royal MCP WordPress 플러그인 1.4.26 이전
Royal MCP WordPress 플러그인을 1.4.26 이상으로 업그레이드하세요. WPScan 공지: https://wpscan.com/vulnerability/8678ef91-ff05-43a1-a8e3-6d35da548826/
출처
NVD CVE-2026-10750WPScan AdvisoryGitHub Advisory GHSA-mggr-4wrj-4f4g
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →