The AI Engine – The Chatbot, AI Framework & MCP for WordPress plugin for WordPress is vulnerable to Privilege Escalation in version 3.4.9. This is due to missing WordPress capability enforcement in the MCP OAuth bearer-token authorization path, where any valid OAuth token causes MCP access to be granted without verifying administrator privileges. This makes it possible for authenticated (Subscriber+) attackers to invoke admin-level MCP tools and escalate privileges to Administrator.
The AI Engine WordPress plugin version 3.4.9 contains a privilege escalation vulnerability in its MCP OAuth implementation that allows authenticated subscribers to gain administrator access. Attackers can bypass capability checks and invoke admin-level tools without proper authorization verification.
ثغرة في إضافة AI Engine للـ WordPress تؤثر على الإصدار 3.4.9 حيث يفتقد التحقق من صلاحيات WordPress في مسار تفويض OAuth للـ MCP. يسمح هذا للمستخدمين المصرحين بمستويات منخفضة بتجاوز الفحوصات والوصول إلى أدوات إدارية.
ثغرة تصعيد الامتيازات في إضافة AI Engine لـ WordPress الإصدار 3.4.9 تسمح للمستخدمين المصرحين بمستوى المشترك بالوصول إلى صلاحيات المسؤول. يمكن للمهاجمين تجاوز فحوصات الصلاحيات واستدعاء أدوات إدارية دون التحقق من التفويض.
Update the AI Engine plugin to version 3.4.10 or later immediately. Verify WordPress capability enforcement is properly implemented in OAuth bearer-token authorization paths. Audit user roles and remove unauthorized administrator accounts. Implement Web Application Firewall rules to monitor MCP endpoint access.
قم بتحديث إضافة AI Engine إلى الإصدار 3.4.10 أو أحدث فوراً. تحقق من تطبيق فحوصات صلاحيات WordPress بشكل صحيح في مسارات تفويض OAuth. قم بمراجعة أدوار المستخدمين وإزالة حسابات المسؤول غير المصرح بها. طبق قواعد جدار الحماية لمراقبة الوصول إلى نقاط نهاية MCP.