Il 21 maggio 2025 il team Wordfence Threat Intelligence ha scoperto una pericolosa vulnerabilità nel plugin AI Engine per WordPress, installato su oltre 100.000 siti web. Si tratta di un problema di autorizzazione insufficiente che consente l’escalation dei privilegi tramite il modulo MCP (Model Context Protocol), una funzione avanzata che permette a intelligenze artificiali come ChatGPT di eseguire comandi direttamente sul sito WordPress.
Una falla che espone a compromissione totale del sito
La vulnerabilità, identificata come CVE-2025-5071, affligge le versioni 2.8.0 fino alla 2.8.3 del plugin. In presenza di Dev Tools attivati e del modulo MCP abilitato (entrambi disabilitati di default), un utente autenticato con permessi minimi (livello subscriber) può sfruttare l’accesso all’endpoint MCP per eseguire comandi amministrativi come wp_update_user. In altre parole, può autonominarsi amministratore, aggirando del tutto il normale sistema di gestione dei ruoli.
Una volta ottenuto il controllo amministrativo, l’attaccante può:
- modificare o eliminare contenuti (post, commenti, pagine)
- installare plugin o temi malevoli
- iniettare codice per reindirizzare gli utenti o compromettere ulteriormente il sistema
La radice del problema: un controllo mancante
L’origine della vulnerabilità risiede nella funzione can_access_mcp, utilizzata per gestire i permessi di accesso al modulo MCP. Il codice del plugin non verifica in modo adeguato se il token di autenticazione (Bearer token) sia effettivamente presente e valido. Di conseguenza, qualsiasi utente autenticato – anche con i privilegi più bassi – può superare il controllo ed eseguire comandi riservati agli amministratori.
Anche nei casi in cui il token sia configurato, il mancato controllo su un token vuoto fa sì che l’accesso venga comunque concesso in modo implicito a tutti gli utenti loggati.
Il ruolo del firewall Wordfence
Wordfence ha risposto rapidamente, distribuendo una regola firewall il 22 maggio 2025 per tutti gli utenti dei piani Premium, Care e Response, in grado di bloccare tentativi di sfruttamento non autorizzato. Gli utenti della versione gratuita riceveranno la protezione solo il 21 giugno 2025, aumentando il periodo di esposizione per decine di migliaia di siti non aggiornati.
La patch e la risoluzione
Lo sviluppatore del plugin, Jordy Meow, è stato contattato subito e ha risposto tempestivamente. Il 18 giugno 2025 è stata rilasciata la versione 2.8.4 che corregge completamente la falla. La funzione can_access_mcp ora richiede esplicitamente il controllo delle capacità da amministratore, mentre auth_via_bearer_token è stata riscritta per negare l’accesso in caso di token vuoti o non validi.
Questa modifica ripristina correttamente i controlli di sicurezza, limitando l’accesso solo a chi ha realmente i privilegi richiesti.
Raccomandazioni
È fondamentale che tutti i siti che utilizzano il plugin AI Engine aggiornino immediatamente alla versione 2.8.4, specialmente se utilizzano o hanno attivato le Dev Tools o il modulo MCP. Anche chi non ha mai abilitato questi moduli dovrebbe aggiornare comunque, per evitare qualsiasi rischio futuro.
Chiunque conosca webmaster o sviluppatori che utilizzano questo plugin dovrebbe condividere questa segnalazione. L’escalation di privilegi rappresenta una delle minacce più gravi per un’installazione WordPress, perché consente la presa totale del controllo del sito da parte di un attaccante.
Considerazioni finali
Questo caso evidenzia ancora una volta quanto sia importante non solo aggiornare tempestivamente i plugin, ma anche verificare le configurazioni attive, soprattutto per funzioni avanzate che introducono potenziali superfici di attacco. Funzionalità potenti come MCP, che consentono l’interazione tra IA e WordPress, richiedono controlli di sicurezza rigorosi. Una falla nella logica di autorizzazione può trasformarsi rapidamente in una porta spalancata.
La collaborazione tra ricercatori, vendor e strumenti come Wordfence ha permesso di contenere rapidamente la minaccia, ma la responsabilità ultima di mantenere sicuro un sito WordPress resta nelle mani di chi lo gestisce.
