무슨 일이 있었나
GPT/OpenAI API를 사용하여 웹사이트 콘텐츠를 자동으로 번역하는 WordPress 플러그인인 GPTranslate는 2.32.6 이하 버전에서 인증되지 않은 SQL 주입 취약점을 포함하고 있습니다. 이 결함은 2026년 6월 15일 NVD에 발표되었으며 CVSS 점수 9.3 CRITICAL과 함께 Patchstack을 통해 공개되었습니다. 플러그인의 AI 번역 REST 엔드포인트는 사용자가 제공한 매개변수를 데이터베이스 쿼리에 포함시키기 전에 정제하지 못합니다.
왜 중요한가
표준 데이터베이스 손상을 넘어서, 이 결함의 악용은 WordPress 데이터베이스에 저장된 사이트의 OpenAI/GPT API 키에 대한 접근 권한을 부여하여 피해자에게 청구되는 무단 LLM 사용을 위한 API 키 도용뿐만 아니라 모든 번역된 콘텐츠 및 사용자 데이터의 유출을 가능하게 합니다. 이 공격의 인증되지 않은 특성(로그인 불필요)은 대규모 자동화된 악용을 가능하게 합니다.
공격 경로
인증되지 않은 원격 공격자는 플러그인의 번역 엔드포인트로 정제되지 않은 매개변수에 악의적인 SQL을 포함한 조작된 HTTP 요청을 보내어 WordPress 사용자 자격증명 및 wp_options에 저장된 API 키(AI 번역에 사용되는 GPT/OpenAI API 키 포함) 추출을 포함한 임의의 데이터베이스 읽기/쓰기 작업을 허용합니다.
영향받는 시스템
GPTranslate – Multilingual AI Translation for WordPress ≤ 2.32.6
완화 방안
GPTranslate를 2.32.7 이상 버전으로 업데이트하세요. 권고사항: https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability