数据观澜人工智能
快捷导航
您的位置:首页>系统运维>>逾十万个 WordPress 网站因 MCP AI 引擎漏洞面临权限提升攻击风险 >

逾十万个 WordPress 网站因 MCP AI 引擎漏洞面临权限提升攻击风险

  发布时间:2025-12-07 21:31:55   作者:玩站小弟   我要评论
WordPress生态系统近日曝出高危安全漏洞,通过AI Engine插件的模型上下文协议Model Context Protocol,MCP)实现,导致超过10万个网站面临权限提升攻击风险。该漏洞编 。

WordPress生态系统近日曝出高危安全漏洞,逾万因M引擎通过AI Engine插件的个W攻击模型上下文协议(Model Context Protocol ,MCP)实现 ,网站导致超过10万个网站面临权限提升攻击风险 。漏洞该漏洞编号为CVE-2025-5071 ,面临CVSS评分高达8.8分 ,权限影响AI Engine插件2.8.0至2.8.3版本 ,提升攻击者仅需具备订阅者(subscriber)级别的云计算风险低权限账户,即可获取目标WordPress网站的逾万因M引擎完整管理控制权 。

漏洞技术分析

该安全漏洞源于插件MCP功能中的个W攻击授权机制缺陷,该功能允许Claude或ChatGPT等AI代理通过执行各类命令来控制和管理WordPress网站 。网站漏洞核心在于Meow_MWAI_Labs_MCP类中的漏洞can_access_mcp()函数存在权限检查不严问题 ,源码库导致未授权用户可获得强大的面临WordPress管理能力 。

Wordfence安全团队在2025年5月21日的权限常规威胁情报监测中发现该漏洞 ,并立即启动负责任的提升披露流程  。值得注意的是香港云服务器,该漏洞仅对在插件设置中专门启用"开发工具"并激活MCP模块的用户构成严重威胁,这些功能默认处于关闭状态 。

攻击影响范围

该漏洞的危害远超普通未授权访问,成功利用可使攻击者执行wp_update_user、wp_create_user和wp_update_option等关键命令 ,源码下载通过权限提升实现完全控制网站。攻击者利用插件认证框架的缺陷绕过安全控制获取管理员权限后 ,可上传恶意插件、修改网站内容,并在受感染网站上建立持久后门 。

Wordfence Premium 、Care和Response用户已于2025年5月22日获得防护规则更新,免费模板免费版用户则在2025年6月21日获得相同保护。

认证绕过技术细节

漏洞本质在于auth_via_bearer_token()函数存在认证实现缺陷 。原始漏洞代码中存在关键疏漏 ,当令牌值为空时,函数未能正确验证 :

复制public function auth_via_bearer_token( $allow, $request ) { if ( empty( $this->bearer_token ) ) { return false; } $hdr = $request->get_header( authorization ); if ( $hdr && preg_match( /Bearer\s+(.+)/i, $hdr, $m ) && hash_equals( $this->bearer_token, trim( $m[1] ) ) ) { return true; } return $allow; }1.2.3.4.5.6.7.8.9.10.11.

此实现允许攻击者通过简单省略Bearer令牌来绕过认证 ,导致函数返回默认的$allow值(对于已登录用户默认返回true)。官方补丁通过实施严格的模板下载管理员能力检查和全面的空值验证来解决此问题。

  • Tag:

相关文章

  • 揭秘勒索软件团伙和媒体之间的共生关系

    从历史上看,威胁行为者并不热衷于与记者接触,当然,他们可能会关注有关自己的新闻报道,但这种情况仅仅是少数,毕竟,保持低调对他们来说通常更加重要。但这一点在勒索软件团伙身上似乎表现得有所不同。勒索软件已
    2025-12-07

  • WordPress Ninja Forms 曝出严重安全漏洞

    Bleeping Computer 网站披露,WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞,攻击者可以通过这些漏洞实现权限提升并窃取用户数据。2023 年 6 月 22
    2025-12-07

  • C2基础设施威胁情报对抗策略

    威胁情报是指在信息安全和安全防御领域,收集、分析和解释与潜在威胁相关的信息,以便预先发现并评估可能对组织资产造成损害的潜在威胁,是一种多维度、综合性的方法,其通过信息的收集、分析和研判,帮助组织了解可
    2025-12-07

  • iPhone新骗术:利用虚假锁定模式让恶意行为蒙混过关

    当用户以为自己的iPhone已经锁定了,但事实上这竟是一个错觉,恶意软件正对手机进行秘密攻击!据Jamf 威胁实验室与The Hacker News分享的一份报告显示,黑客可以利用一种新颖的攻击手法渗
    2025-12-07

  • 2023年能源行业勒索软件攻击重大事件与关键趋势

    2023年针对能源部门和关键基础设施的勒索软件攻击爆发式增长,包括BlackCat/ALPHV、Medusa美杜莎)和LockBit3.0等十几个知名勒索软件组织纷纷加强了对能源行业高价值目标的攻击,
    2025-12-07

  • 双重勒索软件攻击的危险

    最近,双重勒索软件攻击对他们的目标使用了两种不同的勒索软件变体,攻击者使用的勒索软件包括AvosLocker、Diamond、Hive、Karakurt、LockBit、Quantum和Royal。联
    2025-12-07

最新评论