AI 요약
워드프레스에서 최고 위험도의 '긴급' 취약점 2개(CVE-2026-63030, CVE-2026-60137)가 발견되어 2026년 7월 17일 긴급 패치(6.8.6, 6.9.5, 7.0.2)가 발표되었다. GMO Flatt Security의 분석에 따르면, 이 두 취약점을 조합하면 인증 없이 원격 코드 실행(RCE)이 가능한 'wp2shell' 공격 체인이 성립된다. 특히 표준 설정에서도 공격이 가능하여, 패치 없이는 데이터 유출, 페이지 변조, 악성 스크립트 설치 등 심각한 피해가 우려된다.
핵심 포인트
- CVE-2026-63030은 REST API의 배치 라우트 혼동 취약점이며, CVE-2026-60137은 WP_Query의 SQL 인젝션 취약점이다.
- 이 두 취약점의 조합으로 'wp2shell'이라 불리는 Pre-Auth RCE(인증 불필요 원격 코드 실행)가 가능하다.
- 영향받는 버전은 6.9.0~6.9.4, 7.0.0~7.0.1이며, 6.8.x 계열은 단독으로는 공격이 불가능하다.
- 근본적 해결책은 7.0.2, 6.9.5, 6.8.6으로의 업데이트이며, 임시 완화책으로 WAF에서 '/batch/v1' 엔드포인트 차단이 권장된다.
향후 전망
- 일본의 3연휴 기간 중 패치가 이루어지지 않으면 대규모 피해가 발생할 수 있어, 모든 워드프레스 운영자는 즉시 업데이트를 적용해야 한다.
출처:GMO Flatt Security Blog
