Wordfence 的安全研究人员在流行的 WordPress AI 引擎插件中发现了一个漏洞,该插件安装在 100,000 多个网站上。此漏洞被跟踪为 CVE-2025-5071,它使具有订阅者级访问权限的经过身份验证的用户能够提升其权限,并可能完全控制网站。
该漏洞的 CVSS 评分为 8.8,会影响启用了 Dev Tools 和 Model Context Protocol (MCP) 模块的站点,这两项功能在默认情况下处于禁用状态,但站点管理员可以启用这些功能以实现高级 AI 支持的功能。
AI Engine 旨在将 ChatGPT 或 Claude 等 AI 模型集成到 WordPress 中,最近增加了对模型上下文协议 (MCP) 的支持。此协议使 AI 代理能够执行复杂的管理任务,例如管理文件、编辑用户和控制站点行为。
虽然功能强大,但配置错误时会打开一个危险的攻击面。
问题的核心是用于验证对 MCP 端点的访问的 can_access_mcp() 函数。该插件最初向所有登录用户授予访问权限,并允许通过名为 ‘mwai_allow_mcp’ 的过滤器进行进一步控制。尽管该插件提供 Bearer Token 身份验证,但验证逻辑无法检查空值。
“即使配置了 Bearer Token 身份验证方法…由于缺少空值检查,可以绕过此身份验证,“报告解释说。
实际上,这意味着,如果没有实施其他检查,任何登录用户都可以访问 MCP 端点,即使启用了不记名令牌系统。进入后,用户可以执行 wp_update_user 命令将其帐户提升为管理员。
“攻击者……可以执行各种命令…允许他们将权限升级到管理员,“报告警告说。
这种权限提升会导致网站完全被盗用。提升为管理员的用户可以:
- 上传恶意插件或后门
- 修改或删除内容
- 将访问者重定向到恶意网站
- 注入垃圾邮件或网络钓鱼内容
虽然该漏洞仅影响明确启用了 MCP 的网站,但高安装基数和易利用性使其成为开发人员和网站所有者尝试 AI 自动化工具的重大风险。
Wordfence 敦促 AI Engine 插件的所有用户立即更新到 2.8.4 版本,其中包括针对此漏洞的补丁。
发表评论
您还未登录,请先登录。
登录