Apa yang terjadi
Royal MCP, plugin WordPress yang mengimplementasikan fungsi server Model Context Protocol (MCP) memungkinkan agen AI berinteraksi dengan situs WordPress, mengandung kerentanan kontrol akses rusak tanpa autentikasi di versi hingga dan termasuk 1.4.2. Dipublikasikan 15 Juni 2026 (CVSS 7.3 HIGH). Penyerang jarak jauh dapat mengakses endpoint MCP yang dilindungi tanpa autentikasi.
Mengapa penting
Plugin MCP mengekspos antarmuka alat terstruktur yang dirancang khusus untuk konsumsi agen AI. Bypass kontrol akses tanpa autentikasi pada server MCP memungkinkan agen AI eksternal (atau penyerang yang menyamar sebagai agen) untuk menjalankan alat apa pun yang diekspos plugin — berpotensi membaca, menulis, atau menghapus konten WordPress, mengakses kredensial AI yang dikonfigurasi, atau menggunakan endpoint MCP yang dikompromikan sebagai titik pivot untuk menyuntikkan konteks jahat ke dalam alur kerja agen AI yang sah.
Vektor serangan
Penyerang jarak jauh tanpa autentikasi mengirim permintaan langsung ke endpoint yang dikontrol akses Royal MCP, memotong pemeriksaan autentikasi karena logika otorisasi yang tidak tepat di versi ≤ 1.4.2. Ini memberikan akses ke antarmuka alat MCP yang digunakan agen AI untuk berinteraksi dengan situs WordPress.
Sistem yang terdampak
Plugin WordPress Royal MCP ≤ 1.4.2
Mitigasi
Perbarui Royal MCP ke versi 1.4.3 atau lebih baru. Pemberitahuan: https://patchstack.com/database/wordpress/plugin/royal-mcp/vulnerability/wordpress-royal-mcp-plugin-1-4-2-broken-access-control-vulnerability