GPTranslate WordPress AI 번역 플러그인 REST API를 통한 저장된 XSS (CVE-2026-9109)

CVE-2026-9109는 2026년 6월 13일 NVD에 의해 공개되었습니다 (CVSS 7.2 HIGH). WordPress용 GPTranslate – Multilingual AI Translation 플러그인의 모든 버전 2.31 이하는 REST API Translation Storage 기능에서 저장된 크로스 사이트 스크립팅 취약점을 포함하고 있습니다. 불충분한 입력 살균 처리 및 출력 이스케이프는 기여자 수준 이상의 접근 권한을 가진 공격자가 페이지에 지속적인 악성 스크립트를 주입할 수 있게 합니다. 첫 번째 수정 참조는 태그 2.27.5를 가리킵니다.

GPTranslate는 AI (LLM 기반 번역)를 핵심 기능으로 사용하므로, XSS 페이로드는 REST API를 통해 반환되고 사이트에 저장되는 AI 번역 콘텐츠에 포함될 수 있습니다. AI 번역 출력을 신뢰하고 살균 처리 없이 렌더링하는 WordPress 사이트에서 공격자는 세션 쿠키 (관리자 토큰 포함)를 도용하거나 사용자를 리디렉션하거나 AI 번역 콘텐츠를 유출할 수 있는 스크립트를 주입할 수 있습니다. 이는 다국어 AI 기반 콘텐츠를 구동하기 위해 이 플러그인을 사용하는 모든 사이트에 영향을 미칩니다.

인증된 공격자 (기여자+)가 REST API 번역 저장소 엔드포인트를 통해 악성 스크립트를 주입합니다. 저장된 페이로드는 AI 번역 페이지를 볼 때 피해자의 브라우저에서 실행됩니다.

GPTranslate – Multilingual AI Translation for WordPress 플러그인, 모든 버전 ≤ 2.31

GPTranslate 플러그인을 버전 2.27.5 이상으로 업데이트하세요. NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-9109