事件经过
CVE-2026-40775(CVSS 7.3 HIGH)于 2026-06-15 发布。版本 ≤ 1.4.2 的 Royal MCP WordPress 插件包含未认证破损访问控制漏洞,允许远程攻击者在不进行身份验证的情况下与 MCP 服务器功能交互。
影响分析
WordPress 的 MCP 插件向 AI 代理暴露工具和资源端点。此类插件上的未认证访问控制绕过可能允许攻击者调用 MCP 工具、读取 MCP 提供的资源,或操纵暴露给 AI 代理的数据 — 直接影响 Web 服务器与任何通过 MCP 连接的 AI 代理之间的安全边界。
攻击途径
未认证攻击者利用 Royal MCP WordPress 插件中的破损访问控制来在不进行身份验证的情况下访问或操纵 MCP 暴露的资源。
受影响系统
Royal MCP WordPress 插件 ≤ 1.4.2
缓解措施
将 Royal MCP 插件更新到 > 1.4.2 的版本。Patchstack 公告:https://patchstack.com/database/wordpress/plugin/royal-mcp/vulnerability/wordpress-royal-mcp-plugin-1-4-2-broken-access-control-vulnerability