워드프레스, 최고 위험도 '긴급' 취약점 wp2shell 발견…GMO Flatt Security가 밝힌 대응 지침

워드프레스에서 최고 위험도 긴급 취약점 'wp2shell'(CVE-2026-63030, CVE-2026-60137)이 발견됐다. 인증 없이 원격 코드 실행이 가능하며, 버전 6.9.0~6.9.4 및 7.0.0~7.0.1이 영향을 받는다. GMO Flatt Security는 즉시 7.0.2, 6.9.5, 6.8.6으로 업데이트하거나 WAF로 /batch/v1을 차단할 것을 권고했다.

AI 요약

워드프레스에서 최고 위험도의 '긴급' 취약점 2개(CVE-2026-63030, CVE-2026-60137)가 발견되어 2026년 7월 17일 긴급 패치(6.8.6, 6.9.5, 7.0.2)가 발표되었다. GMO Flatt Security의 분석에 따르면, 이 두 취약점을 조합하면 인증 없이 원격 코드 실행(RCE)이 가능한 'wp2shell' 공격 체인이 성립된다. 특히 표준 설정에서도 공격이 가능하여, 패치 없이는 데이터 유출, 페이지 변조, 악성 스크립트 설치 등 심각한 피해가 우려된다.

핵심 포인트

  • CVE-2026-63030은 REST API의 배치 라우트 혼동 취약점이며, CVE-2026-60137은 WP_Query의 SQL 인젝션 취약점이다.
  • 이 두 취약점의 조합으로 'wp2shell'이라 불리는 Pre-Auth RCE(인증 불필요 원격 코드 실행)가 가능하다.
  • 영향받는 버전은 6.9.0~6.9.4, 7.0.0~7.0.1이며, 6.8.x 계열은 단독으로는 공격이 불가능하다.
  • 근본적 해결책은 7.0.2, 6.9.5, 6.8.6으로의 업데이트이며, 임시 완화책으로 WAF에서 '/batch/v1' 엔드포인트 차단이 권장된다.

향후 전망

  • 일본의 3연휴 기간 중 패치가 이루어지지 않으면 대규모 피해가 발생할 수 있어, 모든 워드프레스 운영자는 즉시 업데이트를 적용해야 한다.
출처:GMO Flatt Security Blog
Share

이것도 읽어보세요

댓글

이 소식에 대한 의견을 자유롭게 남겨주세요.

댓글 (0)

불러오는 중...