무슨 일이 있었나
WooCommerce 스토어를 위한 AI 기반 의미론적 제품 검색을 제공하는 플러그인인 Motive Commerce Search (AI Product Search for WooCommerce)는 버전 1.38.2 이하에서 미인증 broken access control 취약점을 포함하고 있습니다. 공개일: 2026년 6월 15일 (CVSS 8.2 HIGH). 원격 미인증 공격자는 제한된 플러그인 기능에 접근할 수 있습니다.
왜 중요한가
전자상거래용 AI 기반 검색 플러그인은 종종 민감한 검색 인덱스 데이터, 제품 카탈로그를 처리하며 외부 AI 검색 서비스의 API 키를 저장할 수 있습니다. 미인증 접근 제어 우회는 검색 구성, 고객 쿼리 기록을 노출하거나 AI 검색 인덱스를 조작하여 쇼핑객에게 사기성 또는 악의적인 제품 결과를 제공하도록 할 수 있습니다.
공격 경로
미인증 원격 공격자는 플러그인의 엔드포인트에서 누락되었거나 부적절하게 구현된 접근 제어 확인을 악용하여 어떤 인증 정보 없이도 AI 검색 엔진의 제한된 관리 또는 구성 기능을 호출합니다.
영향받는 시스템
AI Product Search for WooCommerce – Motive Commerce Search ≤ 1.38.2
완화 방안
Motive Commerce Search를 버전 1.38.3 이상으로 업데이트하세요. 공지사항: https://patchstack.com/database/wordpress/plugin/motive-commerce-search/vulnerability/wordpress-ai-product-search-for-woocommerce-motive-commerce-search-plugin-1-38-2-broken-access-control-vulnerability