무슨 일이 있었나
CVE-2026-40775 (CVSS 7.3 HIGH) 2026-06-15에 발표됨. 버전 ≤ 1.4.2의 Royal MCP WordPress 플러그인에는 인증되지 않은 broken access control 취약점이 포함되어 있으며, 원격 공격자가 인증 없이 MCP 서버 기능과 상호 작용할 수 있음.
왜 중요한가
WordPress용 MCP 플러그인은 AI 에이전트에 도구 및 리소스 엔드포인트를 노출함. 이러한 플러그인에서의 인증되지 않은 접근 제어 우회는 공격자가 MCP 도구를 호출하거나, MCP에서 제공하는 리소스를 읽거나, AI 에이전트에 노출된 데이터를 조작할 수 있으며 — 웹 서버와 MCP를 통해 연결하는 AI 에이전트 간의 보안 경계에 직접적인 영향을 미칠 수 있음.
공격 경로
인증되지 않은 공격자가 Royal MCP WordPress 플러그인의 broken access control을 악용하여 인증 없이 MCP에 노출된 리소스에 접근하거나 조작함.
영향받는 시스템
Royal MCP WordPress 플러그인 ≤ 1.4.2
완화 방안
Royal MCP 플러그인을 버전 > 1.4.2로 업데이트하세요. Patchstack 공지: https://patchstack.com/database/wordpress/plugin/royal-mcp/vulnerability/wordpress-royal-mcp-plugin-1-4-2-broken-access-control-vulnerability