آسیبپذیری CVE-2026-8719 با شدت 8.8 در افزونه AI Engine – The Chatbot, AI Framework & MCP for WordPress نسخه 3.4.9 به دلیل ضعف در کنترل مجوزها (Privilege Escalation) ایجاد شده است. این نقص در مسیر احراز هویت مبتنی بر OAuth Bearer Token و ماژول MCP رخ میدهد، جایی که سیستم بهدرستی سطح دسترسی کاربران را بررسی نمیکند. در نتیجه، هر کاربری که حداقل سطح Subscriber داشته باشد و یک توکن معتبر OAuth در اختیار داشته باشد، میتواند به قابلیتهای سطح مدیر دسترسی پیدا کند. این موضوع باعث میشود کاربر بتواند ابزارهای مدیریتی MCP را اجرا کرده و سطح دسترسی خود را به Administrator ارتقا دهد. مشکل اصلی در عدم بررسی قابلیتهای وردپرس (WordPress capabilities) در فرآیند احراز هویت است. این آسیبپذیری میتواند منجر به کنترل کامل سایت، تغییر تنظیمات و نصب افزونههای مخرب شود. از آنجا که نیاز به دسترسی اولیه حداقلی دارد، اما به سطح ادمین منجر میشود، ریسک آن بالا ارزیابی میشود. اصلاح این مشکل نیازمند اعمال بررسی دقیق مجوزها در مسیر OAuth و MCP است.
- افزونه وردپرس AI Engine – The Chatbot, AI Framework & MCP for WordPress
- نسخه آسیبپذیر: 3.4.9
- تمام سایتهای وردپرسی که این افزونه را با قابلیت MCP (Model Context Protocol) و احراز هویت OAuth فعال استفاده میکنند
- محیطهایی که توکنهای OAuth برای دسترسی به قابلیتهای MCP بدون بررسی سطح دسترسی استفاده میشوند
- بهروزرسانی فوری افزونه به نسخهای که مشکل کنترل دسترسی را رفع کرده است
- اعمال بررسی دقیق WordPress Capability Checks در تمام مسیرهای MCP
- محدودسازی استفاده از OAuth Bearer Token فقط به نقشهای مجاز (Administrator)
- غیرفعالسازی یا محدود کردن قابلیت MCP در صورت عدم نیاز
- استفاده از Least Privilege برای تمام نقشهای کاربری (Subscriber و Editor)
- بررسی و مانیتورینگ لاگهای OAuth برای شناسایی استفاده غیرمجاز
- فعالسازی Web Application Firewall (WAF) برای جلوگیری از درخواستهای مشکوک به MCP endpoints
- بازبینی و لغو توکنهای OAuth صادرشده مشکوک یا قدیمی
- 2