해커들이 WP Maps Pro 플러그인의 취약점을 이용해 인증 없이 악성 관리자 계정을 생성하는 공격을 시도하고 있다. 해당 취약점(CVE-2026-8732)은 치명적인 심각도로 평가되며, WP Maps Pro 6.1.0 이하 버전에 영향을 미친다. 이 플러그인은 Google Maps, OpenStreetMap 등 다양한 지도 제공자를 지원하며, 기업, 부동산, 여행, 디렉터리 등 여러 분야에서 15,800건 이상 판매된 인기 유료 WordPress 플러그인이다.
취약점의 원인은 플러그인의 "임시 접근" 기능에 있다. 이 기능은 벤더 지원 인력이 고객 사이트에 접근할 수 있도록 설계되었으나, 프론트엔드 JavaScript의 공개된 nonce 체크만으로 보호되어 있어 인증되지 않은 사용자도 AJAX 엔드포인트에 접근할 수 있다. 공격자는 특수하게 조작된 요청을 보내 새 관리자 계정을 생성하고, 비밀번호 없이 로그인 가능한 URL을 원격 시스템에 전송할 수 있다. 이 URL에 접속하면 추가 인증 없이 관리자 권한을 획득하게 된다.
WordPress 보안업체 Defiant는 최근 24시간 동안 3,600건 이상의 공격 시도를 차단했다고 밝혔다. 해당 취약점은 3월 24일 연구자에 의해 보고되었고, 5월 20일 WP Maps Pro 6.1.1 버전에서 패치가 적용되었다. 웹사이트 관리자는 악성 행위가 이미 관찰되고 있으므로 플러그인을 즉시 최신 버전으로 업데이트할 것이 권고된다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.