Katalog CVE

CVE-2026-10750

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Wtyczka Royal MCP dla WordPress przed wersją 1.4.26 nie sprawdza uprawnień dla większości swoich narzędzi MCP po uwierzytelnieniu tokenem, co pozwala uwierzytelnionym użytkownikom z niskimi uprawnieniami, takim jak Subskrybent, na odczytywanie prywatnych treści, wyliczanie wszystkich użytkowników i ich ról oraz tworzenie, modyfikowanie lub usuwanie treści należących do innych użytkowników.

Ocena ryzyka

Organizacja narażona jest na wyciek poufnych danych, nieautoryzowany dostęp do treści oraz możliwość manipulacji treściami przez nieuprawnione osoby, co może prowadzić do naruszenia integralności i poufności systemu.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Royal MCP do wersji 1.4.26 lub nowszej, a także przejrzeć i ograniczyć uprawnienia użytkowników, szczególnie tych z rolą Subskrybenta.

Oryginalny opis (angielski, źródło NVD)

The Royal MCP WordPress plugin before 1.4.26 does not perform capability checks on the majority of its MCP tools after token authentication, allowing authenticated users with a low-privileged role such as Subscriber to read private content, enumerate all users and their roles, and create, modify, or delete content owned by other users.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS