CVE-2026-8719

Nome do Software Vulnerável e Versões Afetadas The AI Engine – The Chatbot, AI Framework & MCP for WordPress versão 3.4.9

Descrição A ausência de imposição de capacidades do WordPress no caminho de autorização do token portador (bearer-token) do MCP OAuth permite que usuários autenticados com privilégios de Assinante (Subscriber) ou superiores obtenham acesso não autorizado. Como o sistema concede acesso ao MCP para qualquer token OAuth válido sem verificar privilégios de administrador, invasores podem invocar ferramentas MCP de nível administrativo para elevar seus privilégios para Administrador.

Recomendações Atualize o The AI Engine – The Chatbot, AI Framework & MCP for WordPress para uma versão posterior à 3.4.9.