본문 바로가기
서버 리뷰

[보안 경고] 워드프레스 WP Maps Pro 플러그인 치명적 취약점 발견 (CVE-2026-8732)

StWorld 2026. 6. 4. 22:26
728x90

 

주요 요약: 워드프레스에서 구글 지도를 연동할 때 널리 사용되는 프리미엄 플러그인인 'WP Maps Pro(구 WP Google Map Gold)'에서 심각도가 매우 높은 취약점(CVE-2026-8732)이 발견되었습니다. 인증되지 않은 외부 공격자가 웹사이트에 임의로 관리자 계정을 생성하고 제어권을 탈취할 수 있는 취약점으로, 현재 실제 공격 사례가 다수 탐지되고 있으므로 긴급한 조치가 필요합니다.

1. 취약점 개요

보안 연구원 David Brown과 Wordfence Threat Intel 팀에 의해 보고된 이 취약점은 워드프레스 WP Maps Pro 플러그인의 특정 AJAX 액션 처리 과정에서 발생합니다. CVSS 점수 최고점에 가까운 9.8(Critical)을 기록할 만큼 위험도가 매우 높습니다.

취약점 번호 CVE-2026-8732
위험도 점수 (CVSS v3) 9.8 / 10.0 (Critical)
영향을 받는 플러그인 WP Maps Pro (wp-google-map-gold)
영향을 받는 버전 6.1.0 및 그 이하의 모든 버전
패치 완료 버전 6.1.1 버전 이상

2. 취약점 발생 원인 및 공격 메커니즘

해당 플러그인은 개발사의 기술 지원 팀이 고객 웹사이트의 문제를 해결하기 위해 일시적으로 로그인할 수 있도록 돕는 '임시 접근(Temporary Access)' 기능을 포함하고 있습니다. 이 과정에서 취약점이 발생합니다.

  • 부적절한 권한 검증: 플러그인은 로그인하지 않은 사용자도 호출할 수 있도록 wp_ajax_nopriv_wpgmp_temp_access_ajax AJAX 액션을 등록했습니다.
  • 우회 가능한 Nonce 검증: 이 액션은 원래 보안 토큰(Nonce)인 fc-call-nonce를 통해 보호되어야 하지만, 해당 토큰이 워드프레스 프론트엔드의 모든 페이지 소스 내에 wpgmp_local 자바스크립트 객체 형태로 공개되어 노출되고 있었습니다.
  • 자동 관리자 생성 및 로그인: 공격자는 공개된 Nonce를 추출한 뒤, 단 한 번의 조작된 HTTP 요청을 wpgmp_temp_access_support 핸들러로 전송(이때 check_temp=false 인자 전달)함으로써 인증 없이 wp_insert_user() 함수를 호출하고, 하드코딩된 관리자(Administrator) 역할의 계정을 생성합니다.
  • 마법 로그인 URL 반환: 계정이 생성되면 플러그인은 비밀번호 없이 즉시 로그인할 수 있는 특수한 인증 URL을 생성하여 공격자에게 반환합니다. 이 URL에 접속하면 wp_set_auth_cookie()가 작동하여 공격자는 즉시 사이트의 완전한 관리자 권한을 획득하게 됩니다.

3. 발생 가능한 피해

공격자가 관리자 권한을 획득하게 되면 웹사이트 내에서 불법적인 행위를 제약 없이 수행할 수 있습니다.

  • 악성 플러그인 설치 및 테마 변조
  • 지속적인 접근 권한 확보를 위한 백도어 및 웹셸 유포
  • 웹사이트 방문자를 피싱 사이트나 광고 사이트로 리다이렉트하는 스크립트 삽입
  • 데이터베이스 내 회원 정보 및 이메일 주소 등 민감 데이터 유출

4. 권장 대응 조치 및 해결 방법

해당 취약점을 악용한 자동화된 공격 시도가 유통되고 있는 만큼, WP Maps Pro 플러그인을 사용하는 사이트 운영자는 즉시 아래의 조치를 취해야 합니다.

  1. 최신 버전 업데이트: 취약점이 해결된 6.1.1 버전 이상으로 즉시 업데이트를 진행하십시오. 패치 버전에서는 해당 핸들러에 적절한 역량 검증(Capability Check)이 추가되어 인증된 관리자만 접근할 수 있도록 보완되었습니다.
  2. 관리자 계정 전수 조사: 워드프레스 관리자 알림판의 [사용자] -> [모든 사용자] 메뉴로 이동하여 본인이 생성하지 않은 의심스러운 관리자 계정이나 임의의 이메일 주소로 등록된 계정이 있는지 철저히 검토하고 발견 시 즉시 삭제하십시오.
  3. 보안 로그 확인: 웹서버 또는 보안 플러그인의 로그를 확인하여 wpgmp_temp_access_ajax 호출 기록이나 비정상적인 계정 생성 시도가 있었는지 모니터링하십시오.
반응형

'서버 리뷰' 카테고리의 다른 글

CVE-2026-28318: SolarWinds Serv-U 비인증 DoS 취약점 긴급 분석  (0) 2026.06.07
클라우드 자격증명 탈취 사고 실무 대응 가이드  (0) 2026.06.07
OpenSSL 정보 유출 보안 취약점(CVE-2026-31790) 분석 및 업데이트 권고  (0) 2026.05.30
OpenSSH 루트 권한 인증 우회 취약점(CVE-2026-35414, 일명 SplitSSHell) 분석 및 조치 가이드  (0) 2026.05.30
NGINX WebDAV 모듈 힙 버퍼 오버플로우 취약점(CVE-2026-27654) 분석 및 대응 가이드  (0) 2026.05.30

'서버 리뷰' Related Articles

티스토리툴바