워드프레스(WordPress) REST API의 인증 없는 원격 코드 실행(RCE) 및 SQL Injection 취약점이 발견되어 보안 위협 증대
Cloudflare는 해당 취약점에 대한 WAF 보호 규칙을 긴급 배포하여 고객사 애플리케이션 보호 시작
자동 업데이트 강제 시행 및 패치 버전(7.0.2 등) 출시되었으나, WAF 보호는 임시 조치이며 근본 해결책은 업데이트임을 강조
이번에 발견된 두 가지 취약점은 상호 연관된 공격 벡터(Interrelated Attack Vectors)를 가짐. CVE-2026-60137은 워드프레스 6.8 버전 이상에서 발견된 SQL Injection(SQL Injection)으로, 조작된 입력값을 통해 데이터베이스 쿼리를 변조함. CVE-2026-63030은 6.9 버전 이상에서 발생하는 인증 없는 원격 코드 실행(Unauthenticated RCE)으로, REST API의 배치 엔드포인트(Batch Endpoint)를 통해 발생하며, 특히 영구 객체 캐시(Persistent Object Cache) 미사용 시 공격에 취약함. 두 취약점 모두 별도의 로그인이나 사용자 상호작용 없이 악용 가능하여 심각도가 높음.
Cloudflare WAF는 두 가지 규칙을 통해 해당 취약점을 탐지하고 차단함. 첫 번째 규칙(CVE-2026-60137)은 SQL Injection 공격 패턴을 탐지하여 워드프레스 애플리케이션에 도달하기 전에 악의적인 요청을 필터링함. 두 번째 규칙(CVE-2026-63030)은 원격 코드 실행(RCE)을 시도하는 요청 경로를 타겟팅함. 이 두 규칙은 또는 에 포함되어 있으며, 기본적으로 'Block' 액션으로 설정되어 즉시 공격을 방어함. 이는 전략의 일환으로, 패치가 적용되기 전까지 노출 위험을 줄여줌.
Cloudflare WAF의 보호 규칙은 일시적인 완화 조치(Temporary Mitigation)이며, 근본적인 취약점 해결책은 아님. 워드프레스는 이미 버전 7.0.2 및 이전 버전(6.9.5, 6.8.6)에 대한 보안 패치(Security Patch)를 배포했으며, 영향을 받는 사이트에 대한 자동 업데이트를 강제하고 있음. WAF 규칙은 패치가 적용되지 않은 시스템의 노출 위험을 줄이는 데 도움을 주지만, 취약한 코드 자체를 수정하지는 않음. 따라서 사용자는 가능한 한 빨리 워드프레스 버전을 최신 패치 버전으로 업데이트하는 것이 가장 중요함.
SQL Injection 취약점(CVE-2026-60137)은 워드프레스 6.8 버전부터 영향을 받으며, RCE 취약점(CVE-2026-63030)은 6.9 버전 이상에서 발생함. 따라서 6.8.6 버전은 SQL Injection만 해결하며, 6.9.5, 7.0.2, 7.1 Beta 2 버전은 두 가지 취약점 모두에 대한 수정 사항을 포함함. 6.8 미만 버전은 이번 취약점의 영향을 받지 않음. Cloudflare는 이 정보를 바탕으로 정교한 규칙 세트(Sophisticated Ruleset)를 구성하여 특정 버전에 맞는 보호를 제공함.