逾10万个WordPress网站因MCP AI引擎漏洞面临权限提升攻击风险
字数 1200 2025-09-01 11:26:11

WordPress AI Engine插件MCP漏洞(CVE-2025-5071)分析与防护指南

漏洞概述

漏洞编号: CVE-2025-5071
CVSS评分: 8.8 (高危)
影响范围: AI Engine插件2.8.0至2.8.3版本
受影响网站: 超过10万个WordPress网站
漏洞类型: 权限提升漏洞
默认风险状态: 仅影响启用"开发工具"并激活MCP模块的网站(默认关闭)

漏洞技术分析

漏洞根源

漏洞存在于Meow_MWAI_Labs_MCP类的can_access_mcp()函数中,该函数负责MCP(Model Context Protocol)功能的权限检查。MCP功能允许AI代理(如Claude或ChatGPT)通过执行命令控制WordPress网站。

认证绕过机制

核心漏洞位于auth_via_bearer_token()函数,存在以下缺陷:

public function auth_via_bearer_token( $allow, $request ) {
    if ( empty( $this->bearer_token ) ) {
        return false;
    }
    $hdr = $request->get_header( 'authorization' );
    if ( $hdr && preg_match( '/Bearer\s+(.+)/i', $hdr, $m ) && hash_equals( $this->bearer_token, trim( $m[1] ) ) ) {
        return true;
    }
    return $allow;
}

漏洞利用方式:

  1. 当Bearer令牌为空时,函数仅检查$this->bearer_token是否为空,返回false
  2. 但后续如果无法匹配Bearer令牌,函数会返回传入的$allow参数
  3. 对于已登录用户(即使是订阅者级别),$allow默认为true
  4. 攻击者可省略Bearer令牌直接绕过认证

攻击能力

成功利用此漏洞的攻击者可以:

  • 执行wp_update_userwp_create_userwp_update_option等关键命令
  • 将低权限账户提升为管理员
  • 上传恶意插件
  • 修改网站内容
  • 建立持久后门

影响范围评估

受影响配置

  • 必须启用AI Engine插件的"开发工具"选项
  • 必须激活MCP模块功能
  • 默认情况下这些功能都是关闭的

攻击前提

  • 攻击者需要至少拥有订阅者(subscriber)级别的账户权限

防护措施

紧急修复方案

  1. 立即更新插件:

    • 升级到AI Engine插件2.8.4或更高版本
    • 官方补丁已实施严格的管理员能力检查和全面的空值验证

  2. 临时缓解措施(如果无法立即更新):

    // 在主题的functions.php中添加以下代码临时禁用MCP功能
add_filter('mwai_mcp_enabled', '__return_false');

  3. 检查用户权限:

    • 审核所有订阅者级别用户
    • 删除可疑账户

Wordfence防护

  • Premium/Care/Response用户: 已于2025年5月22日获得防护规则更新
  • 免费版用户: 已于2025年6月21日获得相同保护

长期安全建议

  1. 最小权限原则:

    • 严格控制用户注册功能
    • 避免不必要的用户账户

  2. 监控措施:

    • 监控用户权限变更日志
    • 设置文件完整性检查

  3. 备份策略:

    • 确保有可用的完整备份
    • 测试备份恢复流程

漏洞发现与披露时间线

  • 发现日期: 2025年5月21日(Wordfence安全团队)
  • 负责任披露流程: 立即启动
  • 补丁发布时间: 2025年6月19日前

参考链接

WordPress AI Engine插件MCP漏洞(CVE-2025-5071)分析与防护指南 漏洞概述 漏洞编号 : CVE-2025-5071 CVSS评分 : 8.8 (高危) 影响范围 : AI Engine插件2.8.0至2.8.3版本 受影响网站 : 超过10万个WordPress网站 漏洞类型 : 权限提升漏洞 默认风险状态 : 仅影响启用"开发工具"并激活MCP模块的网站(默认关闭) 漏洞技术分析 漏洞根源 漏洞存在于 Meow_MWAI_Labs_MCP 类的 can_access_mcp() 函数中,该函数负责MCP(Model Context Protocol)功能的权限检查。MCP功能允许AI代理(如Claude或ChatGPT)通过执行命令控制WordPress网站。 认证绕过机制 核心漏洞位于 auth_via_bearer_token() 函数,存在以下缺陷: 漏洞利用方式 : 当Bearer令牌为空时,函数仅检查 $this->bearer_token 是否为空,返回false 但后续如果无法匹配Bearer令牌,函数会返回传入的 $allow 参数 对于已登录用户(即使是订阅者级别), $allow 默认为true 攻击者可省略Bearer令牌直接绕过认证 攻击能力 成功利用此漏洞的攻击者可以: 执行 wp_update_user 、 wp_create_user 和 wp_update_option 等关键命令 将低权限账户提升为管理员 上传恶意插件 修改网站内容 建立持久后门 影响范围评估 受影响配置 必须启用AI Engine插件的"开发工具"选项 必须激活MCP模块功能 默认情况下这些功能都是关闭的 攻击前提 攻击者需要至少拥有订阅者(subscriber)级别的账户权限 防护措施 紧急修复方案 立即更新插件 : 升级到AI Engine插件2.8.4或更高版本 官方补丁已实施严格的管理员能力检查和全面的空值验证 临时缓解措施 (如果无法立即更新): 检查用户权限 : 审核所有订阅者级别用户 删除可疑账户 Wordfence防护 Premium/Care/Response用户 : 已于2025年5月22日获得防护规则更新 免费版用户 : 已于2025年6月21日获得相同保护 长期安全建议 最小权限原则 : 严格控制用户注册功能 避免不必要的用户账户 监控措施 : 监控用户权限变更日志 设置文件完整性检查 备份策略 : 确保有可用的完整备份 测试备份恢复流程 漏洞发现与披露时间线 发现日期 : 2025年5月21日(Wordfence安全团队) 负责任披露流程 : 立即启动 补丁发布时间 : 2025年6月19日前 参考链接 Wordfence官方公告 CVE-2025-5071详情 AI Engine插件官方仓库