🚨CVE info : 🚨
🛠️ Produit concerné : AI Engine plugin pour WordPress
📆 Date de publication : 2025-06-19
🎯 Score CVSS v3.1 : 🟠 8.8 (HIGH)
🧪 Vecteur CVSS : accès réseau (authentifié).
📄 Description : Le plugin de moteur AI pour WordPress est vulnérable à la modification non autorisée des données et à la perte de données en raison d'une vérification de capacité manquante sur la fonction 'meow_mwai_labs_mcp :: can_access_mcp' dans les versions 2.8.0 à 2.8.3. Cela permet aux attaquants authentifiés, avec un accès au niveau des abonnés et au-dessus, d'avoir un accès complet au MCP et d'exécuter diverses commandes comme 'WP_CREATE_USER', 'WP_UPDATE_USER' et 'WP_UPDATE_OPTION' ', qui peut être utilisée pour Privilege Escalade, et' WP_UPDatepost ',' WP
🔥 Risques : modification non autorisée des données et perte de données
💡 Opportunités : exploitation possible par des attaquants authentifiés avec accès au niveau d'abonné
🔧 Patch : oui/lien à vérifier auprès du fournisseur
🧨 Exploit : Exploit public
📚 Références :