무슨 일이 있었나
CVE-2026-27407 (CVSS 7.2 HIGH) 2026-06-15 공개. AI Engine WordPress 플러그인(WordPress 사이트에 ChatGPT/LLM 기반 기능 제공)은 Editor 수준의 권한을 가진 사용자가 Administrator로 권한을 상승시켜 전체 사이트를 제어할 수 있도록 허용합니다.
왜 중요한가
AI Engine은 WordPress 사이트를 LLM API에 연결하는 인기 있는 플러그인입니다. 관리자 권한으로의 권한 상승은 공격자가 저장된 API 키를 탈취하고, AI 생성 콘텐츠 파이프라인을 수정하며, 제한된 Editor 계정에서 전체 사이트를 제어할 수 있도록 합니다.
공격 경로
Editor 수준의 WordPress 권한을 가진 인증된 사용자가 AI Engine 플러그인의 권한 상승 결함을 악용하여 더 높은 관리자 접근 권한을 획득합니다.
영향받는 시스템
AI Engine WordPress 플러그인 ≤ 3.4.9
완화 방안
AI Engine 플러그인을 버전 > 3.4.9로 업데이트하세요. Patchstack 권고: https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-3-4-9-privilege-escalation-vulnerability