무슨 일이 있었나
WooCommerce 스토어를 위한 AI 기반 의미론적 제품 검색을 제공하는 플러그인인 Motive Commerce Search(WooCommerce용 AI 제품 검색)는 1.38.2 이하의 버전에서 인증되지 않은 접근 제어 우회 취약점을 포함하고 있습니다. 2026년 6월 15일 공개(CVSS 8.2 HIGH). 원격 인증되지 않은 공격자는 제한된 플러그인 기능에 접근할 수 있습니다.
왜 중요한가
전자상거래용 AI 기반 검색 플러그인은 종종 민감한 검색 인덱스 데이터, 제품 카탈로그를 처리하며 외부 AI 검색 서비스를 위한 API 키를 저장할 수 있습니다. 인증되지 않은 접근 제어 우회는 검색 구성, 고객 쿼리 기록을 노출하거나 AI 검색 인덱스를 조작하여 구매자에게 사기성 또는 악성 제품 결과를 제공하도록 할 수 있습니다.
공격 경로
인증되지 않은 원격 공격자는 플러그인의 엔드포인트에서 누락되거나 부적절하게 구현된 접근 제어 확인을 악용하여 자격 증명 없이 AI 검색 엔진의 제한된 관리자 또는 구성 기능을 호출합니다.
영향받는 시스템
WooCommerce용 AI 제품 검색 – Motive Commerce Search ≤ 1.38.2
완화 방안
Motive Commerce Search를 버전 1.38.3 이상으로 업데이트하세요. 공지: https://patchstack.com/database/wordpress/plugin/motive-commerce-search/vulnerability/wordpress-ai-product-search-for-woocommerce-motive-commerce-search-plugin-1-38-2-broken-access-control-vulnerability