技术说明
WordPress的AI Engine插件提供聊天机器人功能和Model Context Protocol (MCP)集成,在3.4.9版本中包含权限提升漏洞。该漏洞源于MCP OAuth bearer-token授权代码路径中缺少WordPress权限强制检查。任何有效的OAuth令牌都可以授予MCP访问权限,而无需验证认证用户是否拥有管理员权限。
攻击途径
具有Subscriber级别权限(WordPress中最低的认证角色)的认证攻击者可以通过提供任何有效的OAuth令牌来调用管理员级别的MCP工具。该漏洞存在于授权逻辑中,该逻辑检查令牌有效性但跳过了角色强制检查步骤,允许低权限用户通过MCP接口执行管理操作。许多WordPress站点启用了公开注册,使得获取Subscriber访问权限变得轻而易举。
受影响系统
WordPress的AI Engine插件3.4.9版本。该插件拥有50,000+活跃安装。启用公开用户注册(允许任何人创建Subscriber账户)的站点面临最高风险。启用MCP的WordPress实例特别容易受到攻击。
缓解措施
Wordfence披露了该漏洞,插件供应商Meow Apps在2026年5月17日发布了3.4.10版本的补丁。站点管理员应立即更新到3.4.10版本。对于无法立即更新的站点:禁用公开用户注册,审计现有Subscriber账户的可疑活动,审查MCP OAuth令牌授权,并在WordPress日志中监控来自低权限会话的异常工具调用的管理员级别操作。