무슨 일이 있었나
GPT/OpenAI API를 사용하여 웹사이트 콘텐츠를 자동으로 번역하는 WordPress 플러그인인 GPTranslate는 버전 2.32.6 이하에 인증 없는 SQL 인젝션 취약점을 포함하고 있습니다. 이 결함은 CVSS 점수 9.3 CRITICAL과 함께 2026년 6월 15일에 NVD에 공개되었으며 Patchstack을 통해 공개되었습니다. 플러그인의 AI 번역 REST 엔드포인트는 사용자가 제공한 매개변수를 데이터베이스 쿼리에 포함하기 전에 새니타이즈하지 못합니다.
왜 중요한가
표준 데이터베이스 손상 외에도 이 결함의 악용으로 WordPress 데이터베이스에 저장된 사이트의 OpenAI/GPT API 키에 접근할 수 있으며, 이는 피해자에게 청구되는 무단 LLM 사용을 위한 API 키 탈취 및 모든 번역된 콘텐츠와 사용자 데이터 유출을 가능하게 합니다. 공격의 인증 없는 특성(로그인 필수 아님)으로 인해 대규모 자동화된 악용이 용이합니다.
공격 경로
인증되지 않은 원격 공격자가 악성 SQL을 포함한 조작된 HTTP 요청을 플러그인의 번역 엔드포인트로 보내고 새니타이즈되지 않은 매개변수를 통해 임의의 데이터베이스 읽기/쓰기 작업(wp_options에 저장된 WordPress 사용자 자격증명 및 AI 번역에 사용되는 GPT/OpenAI API 키를 포함한 API 키 추출)을 수행할 수 있습니다.
영향받는 시스템
GPTranslate – Multilingual AI Translation for WordPress ≤ 2.32.6
완화 방안
GPTranslate를 버전 2.32.7 이상으로 업데이트하세요. 권고: https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability