Vulnerabilidade de Escalação de Privilégios em Plugin WordPress Atinge 100 mil Sites
Uma vulnerabilidade crítica, identificada como CVE-2025-11749, foi descoberta no plugin AI Engine do WordPress, que está ativo em mais de 100 mil sites. Com uma pontuação CVSS de 9.8, a falha permite que atacantes não autenticados recuperem um token de acesso exposto da API REST MCP, concedendo-lhes privilégios administrativos completos nos sites afetados. O problema foi relatado por Emiliano Versini através do programa de recompensas da Wordfence em 4 de outubro de 2025 e corrigido pelo desenvolvedor Jordy Meow na versão 3.1.4, lançada em 19 de outubro de 2025. A vulnerabilidade reside na integração do plugin com o Modelo de Contexto de Protocolo (MCP), que permite que sistemas de IA interajam com o WordPress. As versões até 3.1.3 não incluíram o parâmetro “show_in_index => false” durante o registro da rota REST, expondo endpoints visíveis publicamente. Os proprietários de sites afetados devem atualizar para a versão 3.1.4 ou superior e rotacionar imediatamente o token de acesso MCP para evitar acessos não autorizados.