Apa yang terjadi
CVE-2026-40775 (CVSS 7.3 HIGH) dipublikasikan 2026-06-15. Plugin WordPress Royal MCP dalam versi ≤ 1.4.2 mengandung kerentanan kontrol akses rusak tanpa autentikasi, memungkinkan penyerang jarak jauh untuk berinteraksi dengan fungsionalitas server MCP tanpa autentikasi.
Mengapa penting
Plugin MCP untuk WordPress mengekspos endpoint alat dan sumber daya ke agen AI. Bypass kontrol akses tanpa autentikasi pada plugin semacam itu dapat memungkinkan penyerang untuk memanggil alat MCP, membaca sumber daya yang disajikan MCP, atau memanipulasi data yang diekspos ke agen AI — secara langsung mempengaruhi batas keamanan antara server web dan agen AI apa pun yang terhubung melalui MCP.
Vektor serangan
Penyerang tanpa autentikasi mengeksploitasi kontrol akses rusak dalam plugin WordPress Royal MCP untuk mengakses atau memanipulasi sumber daya yang diekspos MCP tanpa autentikasi.
Sistem yang terdampak
Plugin WordPress Royal MCP ≤ 1.4.2
Mitigasi
Perbarui plugin Royal MCP ke versi > 1.4.2. Pemberitahuan Patchstack: https://patchstack.com/database/wordpress/plugin/royal-mcp/vulnerability/wordpress-royal-mcp-plugin-1-4-2-broken-access-control-vulnerability