무슨 일이 있었나
CVE-2026-9109는 2026년 6월 13일 NVD에 의해 공개되었습니다 (CVSS 7.2 HIGH). WordPress용 GPTranslate – Multilingual AI Translation 플러그인의 모든 버전 2.31 이하에는 REST API Translation Storage 기능에 저장된 Cross-Site Scripting 취약점이 포함되어 있습니다. 부족한 입력 살균 및 출력 이스케이핑으로 인해 기여자 수준 이상의 접근 권한을 가진 공격자가 페이지에 지속적인 악성 스크립트를 삽입할 수 있습니다. 첫 번째 수정 참조는 태그 2.27.5를 가리킵니다.
왜 중요한가
GPTranslate는 AI (LLM 기반 번역)를 핵심 기능으로 사용하므로, XSS 페이로드가 REST API를 통해 반환되고 사이트에 저장된 AI 번역 콘텐츠 내에 포함될 수 있습니다. AI 번역 출력이 신뢰되고 살균되지 않은 상태로 렌더링되는 WordPress 사이트에서 공격자는 세션 쿠키(관리자 토큰 포함)를 탈취하거나, 사용자를 리다이렉트하거나, AI 번역 콘텐츠를 유출하는 스크립트를 주입할 수 있습니다 — 이 플러그인을 다국어 AI 기반 콘텐츠에 사용하는 모든 사이트에 영향을 미칩니다.
공격 경로
인증된 공격자 (기여자+)가 REST API 번역 저장 끝점을 통해 악성 스크립트를 주입합니다; 저장된 페이로드는 AI 번역 페이지가 조회될 때 피해자의 브라우저에서 실행됩니다
영향받는 시스템
GPTranslate – Multilingual AI Translation for WordPress 플러그인, 모든 버전 ≤ 2.31
완화 방안
GPTranslate 플러그인을 버전 2.27.5 이상으로 업데이트하세요. NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-9109