数据观澜人工智能
快捷导航
您的位置:首页>数据库>>逾十万个 WordPress 网站因 MCP AI 引擎漏洞面临权限提升攻击风险 >

逾十万个 WordPress 网站因 MCP AI 引擎漏洞面临权限提升攻击风险

  发布时间:2025-12-07 19:53:20   作者:玩站小弟   我要评论
WordPress生态系统近日曝出高危安全漏洞,通过AI Engine插件的模型上下文协议Model Context Protocol,MCP)实现,导致超过10万个网站面临权限提升攻击风险。该漏洞编 。

WordPress生态系统近日曝出高危安全漏洞,逾万因M引擎通过AI Engine插件的个W攻击模型上下文协议(Model Context Protocol ,MCP)实现 ,网站导致超过10万个网站面临权限提升攻击风险  。漏洞该漏洞编号为CVE-2025-5071,面临CVSS评分高达8.8分,权限影响AI Engine插件2.8.0至2.8.3版本,提升攻击者仅需具备订阅者(subscriber)级别的源码库风险低权限账户,即可获取目标WordPress网站的逾万因M引擎完整管理控制权。

漏洞技术分析

该安全漏洞源于插件MCP功能中的个W攻击授权机制缺陷 ,该功能允许Claude或ChatGPT等AI代理通过执行各类命令来控制和管理WordPress网站 。网站漏洞核心在于Meow_MWAI_Labs_MCP类中的漏洞can_access_mcp()函数存在权限检查不严问题 ,服务器租用导致未授权用户可获得强大的面临WordPress管理能力。

Wordfence安全团队在2025年5月21日的权限常规威胁情报监测中发现该漏洞,并立即启动负责任的提升披露流程。值得注意的是云计算 ,该漏洞仅对在插件设置中专门启用"开发工具"并激活MCP模块的用户构成严重威胁 ,这些功能默认处于关闭状态 。

攻击影响范围

该漏洞的危害远超普通未授权访问,成功利用可使攻击者执行wp_update_user 、wp_create_user和wp_update_option等关键命令,模板下载通过权限提升实现完全控制网站。攻击者利用插件认证框架的缺陷绕过安全控制获取管理员权限后,可上传恶意插件  、修改网站内容 ,并在受感染网站上建立持久后门 。

Wordfence Premium、Care和Response用户已于2025年5月22日获得防护规则更新  ,源码下载免费版用户则在2025年6月21日获得相同保护。

认证绕过技术细节

漏洞本质在于auth_via_bearer_token()函数存在认证实现缺陷 。原始漏洞代码中存在关键疏漏,当令牌值为空时,函数未能正确验证 :

复制public function auth_via_bearer_token( $allow, $request ) { if ( empty( $this->bearer_token ) ) { return false; } $hdr = $request->get_header( authorization ); if ( $hdr && preg_match( /Bearer\s+(.+)/i, $hdr, $m ) && hash_equals( $this->bearer_token, trim( $m[1] ) ) ) { return true; } return $allow; }1.2.3.4.5.6.7.8.9.10.11.

此实现允许攻击者通过简单省略Bearer令牌来绕过认证 ,导致函数返回默认的$allow值(对于已登录用户默认返回true) 。官方补丁通过实施严格的免费模板管理员能力检查和全面的空值验证来解决此问题。

  • Tag:

相关文章

  • API和供应链安全成为2025年CISO的优先事项

    展望2025年,保障收入和最小化业务风险必须成为CISO预算的核心,投资应与业务运营相协调,以推动优先事项。Forrester最新的安全和风险预算规划指南明确指出,保护业务关键的IT资产需要成为明年的
    2025-12-07

  • MiMi应用被植入后门,攻击安卓、iOS、Windows和macOS平台

    国内即时消息应用MiMi被植入后门,攻击安卓、iOS、Windows和macOS平台。MiMiMiMi是一款主要针对国内用户的即时消息应用,有Windows、macOS、安卓和iOS版本。桌面版用El
    2025-12-07

  • 保护建筑物免受网络攻击所需的新策略

    据市场研究公司 Verdantix 称,连网设备正在增加智能建筑的网络攻击风险。它呼吁各公司重新启动其建筑运营安全策略,并表示建筑经理需要与IT专业人员一起采取综合方法,并明确职责分工。它警告称,公司
    2025-12-07

  • Google开源Paranoid:用于识别各种加密产品中的漏洞

    Google 近日宣布开源 Paranoid​,该项目主要用于识别各种加密产品中的漏洞。该库支持测试数字签名、通用伪随机数和公钥等多种类型的加密产品,以识别由编程错误或使用弱专有随机数生成器引起的问题
    2025-12-07

  • 集体暴雷!自动化攻击可一分钟内越狱主流大语言模型

    大语言模型应用面临的两大安全威胁是训练数据泄漏和模型滥用被应用于网络犯罪、信息操弄、制作危险品等违法活动)。本周内,这两大安全威胁相继“暴雷”。本周一,GoUpSec曾报道研究人员成功利用新的数据提取
    2025-12-07

  • 基于 Go 语言开发的监控系统

    ​1.介绍小米开源的监控系统 open-falcon 和滴滴开源的日志采集工具 falcon-log-agent 作为一组黄金搭档,被互联网公司广泛使用。本文介绍怎么使用这组黄金搭档监控业务系统的日志
    2025-12-07

最新评论