무슨 일이 있었나
CVE-2026-49776 (CVSS 9.3 CRITICAL)은 2026-06-15에 NVD에 의해 게시되었습니다. 버전 ≤ 2.32.6의 GPTranslate WordPress 플러그인에는 인증되지 않은 SQL 주입 취약점이 포함되어 있습니다. 이를 악용하기 위해 인증이 필요하지 않으며, 공격자에게 사용자 자격증명, 플러그인에서 저장된 API 키(예: OpenAI/GPT 키), 그리고 모든 사이트 콘텐츠를 포함한 WordPress 데이터베이스에 대한 직접적인 접근을 제공합니다.
왜 중요한가
AI 번역 플러그인은 일반적으로 LLM 제공자 API 키(OpenAI 등)를 WordPress 데이터베이스에 저장합니다. 성공적인 SQL 주입은 사이트를 손상시킬 뿐만 아니라 해당 AI 제공자 자격증명을 직접 수집하여 공격자가 사이트 소유자의 비용으로 LLM API 접근을 악용하도록 합니다. 중요한 CVSS 및 인증되지 않은 악용으로 인해 이는 높은 우선순위의 패치입니다.
공격 경로
인증되지 않은 원격 공격자가 취약한 엔드포인트로 조작된 HTTP 요청을 보내어 AI 번역 플러그인이 실행하는 데이터베이스 쿼리에 임의의 SQL을 주입하여 자격증명 없이 완전한 데이터베이스 읽기/쓰기를 가능하게 합니다.
영향받는 시스템
GPTranslate – WordPress용 다국어 AI 번역 ≤ 2.32.6
완화 방안
GPTranslate를 버전 > 2.32.6으로 업데이트하세요. Patchstack 공지사항 참조: https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability