CVE-2026-10750
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
Wtyczka Royal MCP dla WordPress przed wersją 1.4.26 nie sprawdza uprawnień dla większości swoich narzędzi MCP po uwierzytelnieniu tokenem, co pozwala uwierzytelnionym użytkownikom z niskimi uprawnieniami, takim jak Subskrybent, na odczytywanie prywatnych treści, wyliczanie wszystkich użytkowników i ich ról oraz tworzenie, modyfikowanie lub usuwanie treści należących do innych użytkowników.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych danych, nieautoryzowany dostęp do treści oraz możliwość manipulacji treściami przez nieuprawnione osoby, co może prowadzić do naruszenia integralności i poufności systemu.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Royal MCP do wersji 1.4.26 lub nowszej, a także przejrzeć i ograniczyć uprawnienia użytkowników, szczególnie tych z rolą Subskrybenta.
Oryginalny opis (angielski, źródło NVD)
The Royal MCP WordPress plugin before 1.4.26 does not perform capability checks on the majority of its MCP tools after token authentication, allowing authenticated users with a low-privileged role such as Subscriber to read private content, enumerate all users and their roles, and create, modify, or delete content owned by other users.

