무슨 일이 있었나
CVE-2026-49776 (CVSS 9.3 CRITICAL)은 2026-06-15에 NVD에 의해 공개되었습니다. 버전 ≤ 2.32.6의 GPTranslate WordPress 플러그인에 인증되지 않은 SQL 주입 취약점이 포함되어 있습니다. 이를 악용하기 위해 인증이 필요하지 않으므로 공격자가 사용자 자격 증명, 플러그인에 저장된 API 키(예: OpenAI/GPT 키) 및 모든 사이트 콘텐츠를 포함한 WordPress 데이터베이스에 직접 액세스할 수 있습니다.
왜 중요한가
AI 번역 플러그인은 일반적으로 LLM 제공자 API 키(OpenAI 등)를 WordPress 데이터베이스에 저장합니다. 성공적인 SQL 주입은 사이트를 손상시킬 뿐만 아니라 AI 제공자 자격 증명을 직접 수집하여 공격자가 사이트 소유자의 비용으로 LLM API 액세스를 남용하도록 합니다. Critical CVSS와 인증되지 않은 악용은 이것을 높은 긴급도의 패치로 만듭니다.
공격 경로
인증되지 않은 원격 공격자가 취약한 엔드포인트로 조작된 HTTP 요청을 보내어 AI 번역 플러그인이 실행하는 데이터베이스 쿼리에 임의의 SQL을 주입하여 자격 증명 없이 전체 데이터베이스 읽기/쓰기를 가능하게 합니다.
영향받는 시스템
GPTranslate – WordPress용 다국어 AI 번역 ≤ 2.32.6
완화 방안
GPTranslate를 버전 > 2.32.6로 업데이트하세요. Patchstack 권고사항을 참조하세요: https://patchstack.com/database/wordpress/plugin/gptranslate/vulnerability/wordpress-gptranslate-multilingual-ai-translation-for-wordpress-automatically-translate-websites-plugin-2-32-6-sql-injection-vulnerability