何が起きたか
CVE-2026-40775 (CVSS 7.3 HIGH) は 2026-06-15 に公開されました。バージョン ≤ 1.4.2 の Royal MCP WordPress プラグインには認証なしの不正アクセス制御脆弱性が存在し、リモート攻撃者が認証なしで MCP サーバー機能と対話することを可能にします。
なぜ重要か
WordPress 用 MCP プラグインは、ツールおよびリソースエンドポイントを AI エージェントに公開します。このようなプラグインの認証なしアクセス制御バイパスにより、攻撃者は MCP ツールを呼び出したり、MCP が提供するリソースを読み取ったり、AI エージェントに公開されるデータを操作したりでき、Web サーバーと MCP 経由で接続する AI エージェント間のセキュリティ境界に直接影響を与える可能性があります。
攻撃経路
認証なしの攻撃者が Royal MCP WordPress プラグインの不正アクセス制御を悪用して、認証なしで MCP が公開するリソースにアクセスまたは操作します。
影響を受けるシステム
Royal MCP WordPress プラグイン ≤ 1.4.2
緩和策
Royal MCP プラグインをバージョン > 1.4.2 に更新してください。Patchstack アドバイザリ: https://patchstack.com/database/wordpress/plugin/royal-mcp/vulnerability/wordpress-royal-mcp-plugin-1-4-2-broken-access-control-vulnerability