WordPress AI Engine Plugin の脆弱性 CVE-2025-5071 が FIX:MCP 経由の権限昇格の可能性

Over 100,000 WordPress Sites Exposed to Privilege Escalation via MCP AI Engine

2025/06/19 gbhackers — 10 万件以上の WordPress サイトにインストールされている、人気のプラグイン AI Engine に存在する深刻なセキュリティ脆弱性が、Wordfence 脅威インテリジェンス・チームにより発見された。この脆弱性 CVE-2025-5071 (CVSS:8.8) は、Model Context Protocol (MCP) を経由する際の、認可不備による権限昇格と分類されている。

この脆弱性の影響を受けるのは、AI Engine のバージョン 2.8.0〜2.8.3 である。 この不具合を突く、サブスクライバー以上の権限を持つ認証済みユーザーは、MCP モジュールへの完全なアクセス権を獲得し、”wp_update_user” などの重要なコマンドを実行できるようになる。

その結果として発生する権限昇格により、悪意のユーザーの権限が管理者レベルへと昇格し、サイト全体の侵害という重大なリスクが生じる。

ただし、この脆弱性が深刻な影響を及ぼす前提として、プラグイン設定において Dev Tools/MCP モジュールが、手動で有効化されている必要がある。しかし、どちらの設定も、無効化がデフォルトである。

脆弱性 CVE-2025-5071 の技術的詳細

この脆弱性の根本的な原因は、Meow_MWAI_Labs_MCP クラス内の can_access_mcp() 関数における、不十分な権限チェックにある。

その一方で、デフォルトでは is_user_logged_in() 条件に依存しているため、厳密な権限チェックが行われず、ログインしている誰もが、MCP エンドポイントへとアクセスできる状態になっていた。

WordPress Sites
steps to exploitation

さらに、コンフィグにおいて Bearer トークン認証を設定している場合でも、auth_via_bearer_token() 関数に存在する欠陥により、トークンの省略と認証バイパスが可能となる。したがって、ログイン中のユーザーとしてのデフォルト・アクセス権へと、フォールバックされる問題が生じていた。

この見落としにより、攻撃者は MCP エンドポイントとのインタラクションにおいて、wp_create_user/wp_update_option/wp_update_post/wp_delete_comment などのコマンド実行の機会を得る。その結果として、プラグイン経由でのバックドアの埋め込みや、悪意のサイトへのユーザーのリダイレクトなどの、悪意のアクティビティを許す可能性が生じていた。

管理者権限が攻撃者に取得されると、WordPress サイトのコンテンツ/設定/ユーザー管理などが、完全に掌握されてしまうため、甚大な被害につながる可能性がある。

修正と保護措置:迅速な対応が実施された

2025年5月21日に Wordfence は、この脆弱性に関する情報を、プラグイン開発者である Jordy Meow に開示した。その結果として、報告から1時間も経たないうちに問題を認識した開発者は、2025年6月18日にバージョン 2.8.4 として修正パッチをリリースした。

この修正では、can_access_mcp() 関数が変更され、管理者レベルの権限チェックが、デフォルトで強制されるようになった。その他にも、Bearer トークン認証の処理が強化され、空の値に対する厳密な検証が追加されている。

Wordfence のレポートによると、Wordfence Premium/Care/Response の各ユーザーには、脆弱性の悪用試行を防ぐためのファイアウォール・ルールが、2025年5月22日から適用されている。無料ユーザーに対しても、2025年6月21日から、同様の保護が提供される予定だ。Wordfence は、この脆弱性に対する、Jordy Meow の迅速な対応を高く評価している。

この脆弱性の深刻さを踏まえ、WordPress 管理者に推奨されるのは、AI Engine バージョン 2.8.4 へと速やかに更新し、サイトの安全を確保することである。

この脆弱性が浮き彫りにするのは、AI 駆動型プロトコルなどの機密性の高い機能を取り扱うプラグインにおける、堅牢な権限制御の重要性である。

AI Engine を使用しているサイトの運営者に対して推奨されるのは、自身の設定と必要なアップデートの適用を確認し、不正アクセスや攻撃者によるサイト乗っ取りのリスクを軽減することである。さらに、同プラグインを利用している可能性のある関係者とも情報を共有し、コミュニティ全体のセキュリティ向上に努めることも有効だ。

WordPress の AI Engine プラグインに発見された脆弱性は、MCP 機能の不十分な権限チェックに起因するとのことです。ログイン済みというだけで、重要な操作が可能になる設計は、リスクが高いと感じました。今後、MCP に関連する問題が増えてくると思います。ご利用のチームは、十分に ご注意ください。よろしければ、カテゴリ AI/ML と、MCP で検索も、ご参照ください。