무슨 일이 있었나
GPT 기반 챗봇, 콘텐츠 생성 및 AI 모델 관리를 통합하는 널리 사용되는 WordPress 플러그인인 AI Engine은 3.4.9 버전 이하에 권한 상승 취약점을 포함하고 있습니다. 2026년 6월 15일 공개됨 (CVSS 7.2 HIGH). Editor 수준의 사용자는 플러그인 내의 부적절하게 보호된 작업 또는 REST 엔드포인트를 통해 Administrator로 권한을 상승시킬 수 있습니다.
왜 중요한가
AI Engine은 OpenAI/GPT API 키, 챗봇 구성, 미세 조정된 모델 설정 및 AI 생성 콘텐츠 파이프라인을 저장하고 관리합니다. 권한이 상승된 공격자는 플러그인을 통해 구성된 모든 AI 인프라를 제어합니다 — API 키 유출로 인한 후속 LLM 악용 포함 — 그리고 사이트 방문자에 대한 추가 사이트 손상 또는 공급망 공격을 가능하게 하는 완전한 WordPress 관리자 액세스 권한을 획득합니다.
공격 경로
최소한 Editor 수준의 WordPress 권한을 가진 인증된 공격자는 AI Engine ≤ 3.4.9의 누락된 기능 확인 또는 부적절한 인증을 악용하여 권한을 Administrator로 상승시키고, 저장된 OpenAI API 키 및 모든 AI 모델 구성에 대한 액세스를 포함한 완전한 사이트 제어를 획득합니다.
영향받는 시스템
AI Engine WordPress Plugin ≤ 3.4.9
완화 방안
AI Engine을 버전 3.5.0 이상으로 업데이트하세요. 권고: https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-3-4-9-privilege-escalation-vulnerability