히큐리티(Hecurity)
[2026-06-22] 이메일 계정 탈취부터 서버 장악까지…워드프레스 취약점 비상 본문
오늘의 뉴스클리핑의 이슈는 바로 워드프레스 취약점입니다 - !

워드프레스 취약점
워드프레스 생태계를 겨냥한 대규모 공격 시도가 이어지고 있으며, 보안기업 디파이언트(Defiant)는 두 건의 플러그인 취약점을 경고했다. 첫째는 10만 개 이상 사이트에서 사용 중인 이메일 전송 플러그인 그래비티 SMTP(Gravity SMTP)의 정보 노출 취약점(CVE-2026-4020)으로, 인증 없이 민감한 시스템 정보와 외부 이메일 서비스 인증정보를 탈취할 수 있으며 실제 악용이 확인됐다. 둘째는 약 100만 개 사이트에 설치된 아바다 빌더(Avada Builder) 플러그인의 임의 파일 삭제 취약점(CVE-2026-8713)으로, 최악의 경우 원격 코드 실행으로 이어질 수 있다. 디파이언트의 워드펜스(Wordfence) 웹방화벽은 현재까지 1,700만 건 이상의 공격 시도를 차단했다.
그래비티 SMTP 정보 노출 (CVE-2026-4020)
REST API 엔드포인트의 permission_callback이 항상 true로 설정된 인증 검증 부재가 원인으로, 공격자가 인증 없이 mock-data 엔드포인트에 ?page=gravitysmtp-settings 파라미터를 붙인 단일 GET 요청을 보내면 API 키·인증정보가 포함된 365KB 시스템 보고서가 그대로 노출되는 정보 노출(Information Disclosure) 취약점이다.
개요
| 항목 | 내용 |
| 취약점 유형 | 인증 없는 정보 노출 (Unauthenticated Information Disclosure) |
| 영향 버전 | Gravity SMTP 2.1.4 이하 전체 |
| 패치 버전 | 2.1.5 (2026년 3월 17일 릴리스) |
| CVSS | 5.3 (Wordfence) / 7.5 (NVD) — 평가 기관별 상이 |
| 영향 사이트 | 약 10만 개 |
| 실제 악용 | 확인됨 (워드펜스 1,700만 건 이상 차단) |
근본 원인
문제의 핵심은 REST API 엔드포인트의 권한 검증 함수가 항상 true를 반환하도록 잘못 작성된 것이다. 플러그인의 REST API 엔드포인트 '/wp-json/gravitysmtp/v1/tests/mock-data'의 permission_callback이 항상 true를 반환해, 인증되지 않은 GET 요청으로도 종합 시스템 보고서를 조회할 수 있다.
워드프레스 REST API는 각 엔드포인트마다 permission_callback이라는 함수로 이 요청자가 접근 권한이 있는가를 검사한다. 정상이라면 이 함수가 로그인 여부·권한을 확인하고 true/false를 반환해야 한다. 그러나 그래비티 SMTP는 이 함수를 무조건 true로 고정해버려, 인증 검사 자체가 무력화됐다.
공격 흐름 (단계별)
1단계 : 엔드포인트 호출
공격자가 단 한 번의 인증 없는 HTTP GET 요청을 보낸다.
GET /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings
2단계 : 내부 데이터 조립 트리거
?page=gravitysmtp-settings 쿼리 파라미터가 붙으면 플러그인 내부의 register_connector_data() 메서드가 호출되어 커넥터(외부 이메일 서비스 연동) 데이터를 채운다.
3단계 : 시스템 보고서 반환
서버가 약 365KB 분량의 JSON 시스템 보고서를 반환하며, 여기에는 이메일 서비스 자격증명, 데이터베이스 정보, 전체 소프트웨어 스택이 포함된다.
- 아마존 SES·구글·메일젯·리센드·조호 등 외부 이메일 서비스의 API 키·OAuth 토큰·비밀키
- 워드프레스 버전, 설치된 플러그인 전체 목록과 버전, 테마
- PHP 환경 정보, 데이터베이스 구성 정보
4단계 : 후속 공격
- 유출된 이메일 인증정보로 정상 도메인을 사칭한 피싱 메일 대량 발송
- 설치된 모든 플러그인의 버전 정보가 공격자에게 후속 공격에 사용할 수 있는 알려진 취약점을 정확히 알려주므로, 구버전 플러그인을 사용하는 사이트는 표적으로 매핑된다.
아바다 빌더 임의 파일 삭제 (CVE-2026-8713)
maybe_delete_files() 함수의 경로 검증(realpath/디렉터리 격리) 부재가 원인으로, 공격자가 인증 없이(nopriv) 폼 제출 시 입력값에 ../ 경로 조작(Path Traversal) 페이로드를 넣고 만료 파라미터를 즉시 삭제로 조작하면 셧다운 훅이 자동 실행되어 wp-config.php를 삭제 → 사이트 초기화 → 원격 코드 실행(RCE)으로 이어지는 임의 파일 삭제 취약점이다.
개요
| 항목 | 내용 |
| 취약점 유형 | 인증 없는 임의 파일 삭제 (Path Traversal, CWE-22) |
| 영향 버전 | Avada (Fusion) Builder 3.15.3 이하 전체 |
| 패치 버전 | 3.15.4 (2026년 6월 2일 릴리스) |
| CVSS | 9.1 (Critical) — AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H |
| 영향 사이트 | 약 100만 개 |
| 실제 악용 | 아직 미확인 (단, 공격 난이도 낮음) |
근본 원인
아바다(Fusion) 빌더는 maybe_delete_files 함수의 파일 경로 검증이 불충분해 임의 파일 삭제에 취약하며, 적절한 파일(예: wp-config.php)이 삭제되면 원격 코드 실행으로 쉽게 이어질 수 있다.
근본 원인은 파일 삭제 로직에서 realpath 해석이나 업로드 디렉터리 격리(containment) 검사가 전혀 없다는 점이다. 즉 사용자가 제출한 경로에 ../ 같은 경로 조작 시퀀스가 들어 있어도 그대로 보존·처리되어, 의도된 디렉터리를 벗어나 시스템 어디든 접근할 수 있다.
전제 조건
이 취약점은 한 가지 전제가 충족되어야 작동한다: 데이터베이스에 제출 내역을 저장하도록 설정된, 게시된 아바다 폼(Avada form)이 사이트에 활성화되어 있어야 한다. 아바다의 폼 빌더 기능은 만료된 항목의 첨부파일을 자동 정리(privacy cleanup)하는 기능이 있는데, 바로 이 정리 루틴이 악용 지점이다.(이미 존재하는 기능을 악용)
공격 흐름 (단계별)
1단계 : 악성 폼 제출
공격자가 인증 없이 wp_ajax_nopriv_fusion_form_submit_ajax 핸들러로 경로 조작 페이로드가 담긴 폼을 제출한다.
페이로드 예시:
/wp-content/uploads/fusion-forms/../../../wp-config.php
2단계 : 즉시 삭제 강제
이때 공격자가 fusion_privacy_expiration_interval과 privacy_expiration_action 필드를 함께 조작해, 정상적으로는 일정 기간 후 실행될 정리 작업을 즉시 delete로 강제한다.
3단계 : 셧다운 훅 자동 실행
심어진 항목이 Fusion_Form_DB_Privacy 셧다운 훅 루틴에 의해 관리자 개입 없이 자동으로 처리된다. 즉 별도의 관리자 조작이나 승인 없이, 요청 처리가 끝나는 시점(shutdown hook)에 삭제가 트리거된다.
4단계 : 핵심 파일 삭제 → 사이트 장악
maybe_delete_files()가 워드프레스 기본 파일 삭제 함수로 대상 파일을 삭제한다. wp-config.php 같은 핵심 파일이 삭제되면 워드프레스가 설치(setup) 상태로 강제 전환되고, 공격자는 악성 데이터베이스로 사이트를 재구성한 뒤 플러그인이나 테마를 통해 임의 PHP 코드를 배포할 수 있다.
공격 체인 핵심 정리
경로 조작 폼 제출 (인증 불필요)
→ 만료 파라미터 조작으로 즉시 삭제 강제
→ 셧다운 훅이 자동 처리 (관리자 개입 0)
→ wp-config.php 삭제
→ 사이트 초기화 상태 진입
→ 공격자 DB로 재설치 → 관리자 권한 탈취
→ 악성 PHP 배포 → RCE
시사점
공격 활동은 6월 7일을 전후해 급증했으며 하루 약 400만 건의 악성 요청이 탐지됐다. 이는 취약점 공개와 실제 대규모 악용 사이의 시간차가 매우 짧아지고 있음을 보여준다. 또한 사이버 범죄 조직이 초기 침투보다 사전 정찰 단계에 더 많은 시간을 투자하는 경향이 확인된다. 그래비티 SMTP 사례처럼 시스템 구성과 인증정보를 미리 확보하면 공격 성공률을 크게 높일 수 있기 때문이다. 워드프레스가 전 세계 웹사이트의 상당수를 차지하는 만큼, 단일 플러그인 취약점이 전체 웹사이트 보안 위협으로 확산될 수 있다. 전문가들은 플러그인 최신 버전 적용 여부 즉시 점검, 미사용 플러그인 제거, 웹 애플리케이션 방화벽(WAF) 적용, 관리자 페이지 접근 통제, 로그 모니터링 강화를 권고했다.
개인의견
이번 사례는 SOC 관제 관점에서 탐지 지표(IoC)가 명확하게 제시된 좋은 학습 사례라고 생각한다. 그래비티 SMTP의 경우 웹 서버 로그에서 /wp-json/gravitysmtp/v1/tests/mock-data 요청과 ?page=gravitysmtp-settings 매개변수가 포함된 요청을 탐지 룰로 작성하면 침해 시도를 식별할 수 있다. 인증 없이 접근 가능한 REST API 엔드포인트가 인증정보 노출로 직결된다는 점에서, WAF 관점에서는 특정 URI 패턴 기반의 차단 룰과 비정상적 요청 빈도 기반의 임계치(threshold) 탐지를 함께 적용하는 것이 효과적이라고 본다. 또한 자동화 스캔이 공개 후 수일 내 대규모로 진행된 점은, 평소 ModSecurity나 Suricata 룰을 신규 CVE에 맞춰 신속히 갱신하는 운영 체계의 중요성을 시사한다.
기사출처 : https://www.dailysecu.com/news/articleView.html?idxno=207246
이메일 계정 탈취부터 서버 장악까지…워드프레스 취약점 비상 - 데일리시큐
워드프레스 생태계를 겨냥한 대규모 공격 시도가 이어지고 있다. 최근 보안업계에서는 10만 개 이상의 웹사이트에서 사용 중인 이메일 전송 플러그인과 약 100만 개
www.dailysecu.com
'뉴스클리핑✂️' 카테고리의 다른 글
| [2026-06-24] "통관비 내야 택배 배송"…물류업체 사칭 메일 주의 당부 (0) | 2026.06.24 |
|---|---|
| [2026-06-23] 신종 아리스팅어 봇넷, 세계 구형 라우터 4000대 이상 감염... 전체 피해 절반은 한국 (0) | 2026.06.23 |
| [2026-06-19] SB LNK 웜과 Tor 기반 C2를 활용한 윈도우 클리퍼 악성코드 캠페인 분석 (0) | 2026.06.19 |
| [2026-06-18] 한국형 AI 보안연합 캐노피 출범 (0) | 2026.06.18 |
| [2026-06-17] 악성 JetBrains Marketplace 플러그인이 개발자로부터 AI API 키를 탈취 (0) | 2026.06.17 |
