WordPress의 Advanced Custom Fields: Extended(ACF Extended) 플러그인에서 치명적인 원격 취약점(CVE-2025-14533)이 발견되어, 인증되지 않은 공격자가 관리자 권한을 획득할 수 있는 것으로 드러났습니다. 이 플러그인은 10만 개 이상의 사이트에서 사용 중이며, 취약점은 0.9.2.1 버전 이하에서 'Insert User / Update User' 폼 액션을 악용해 발생합니다. 해당 취약점은 폼 기반 사용자 생성 또는 업데이트 시 역할 제한이 제대로 적용되지 않아, 공격자가 임의로 관리자 권한을 부여할 수 있습니다.
Wordfence는 이 취약점이 'Create User' 또는 'Update User' 폼에 역할 필드가 매핑된 경우에만 악용 가능하다고 설명했습니다. 취약점은 2025년 12월 10일 보안 연구원 Andrea Bocchetti에 의해 보고되었으며, 4일 후 0.9.2.2 버전에서 패치가 이루어졌다. 그러나 약 5만 개의 사이트가 여전히 취약한 버전을 사용 중인 것으로 추정됩니다.
아직 해당 취약점을 이용한 실제 공격은 보고되지 않았으나, GreyNoise의 보고에 따르면 2025년 10월 말부터 2026년 1월 중순까지 1,000개에 가까운 IP가 706개의 WordPress 플러그인을 대상으로 대규모 탐색 활동을 벌였습니다. 특히 Post SMTP, Loginizer, LiteSpeed Cache 등 인기 플러그인에 대한 취약점 악용 시도가 활발히 이루어지고 있어, 관리자들은 신속한 패치 적용이 요구됩니다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.