백업 가드의 중요 경로 탐색//게시일 2026-04-19//CVE-2026-4853

WP-방화벽 보안팀

WordPress Backup Guard Plugin Vulnerability

플러그인 이름 워드프레스 백업 가드 플러그인
취약점 유형 경로 탐색
CVE 번호 CVE-2026-4853
긴급 낮은
CVE 게시 날짜 2026-04-19
소스 URL CVE-2026-4853

제트백업(백업) 플러그인 경로 탐색(CVE-2026-4853) — 워드프레스 사이트 소유자가 지금 해야 할 일

최근 공개된 취약점은 널리 사용되는 워드프레스 백업 플러그인(제트백업 / 백업 가드)의 3.1.19.8 버전까지 영향을 미치며, 인증된 관리자가 특별히 제작된 파일 이름을 제공하고 경로 탐색을 통해 파일 시스템에서 임의의 디렉토리를 삭제할 수 있게 합니다. 제대로 정규화하거나 제한하지 못하면 이 문제는 CVE-2026-4853으로 지정되었으며 3.1.20.3 버전에서 패치되었습니다.

이 취약점은 악용하기 위해 관리자 수준의 자격 증명이 필요하지만, 사이트 소유자, 에이전시 및 호스트가 이를 심각하게 다루는 것이 여전히 중요합니다. 이미 관리자 접근 권한을 가진 공격자는 사이트 파일, 백업 또는 구성 폴더를 영구적으로 삭제하여 데이터 손실, 장기 다운타임 및 비싼 복구 작업을 초래할 수 있습니다.

이 권고문은 취약점이 무엇인지, 왜 중요한지, 공격자가 이를 어떻게 악용할 수 있는지, 시도된 또는 성공적인 남용을 어떻게 감지할 수 있는지, 즉시 적용할 수 있는 실용적인 완화 조치 — 가상 패치/WAF 규칙, 즉시 업데이트할 수 없는 경우의 단기 완화 조치, 장기 강화 권장 사항을 설명합니다. 패치하는 동안 사이트를 보호하기 위해 WP‑Firewall을 사용할 것을 권장합니다.

요약 (신속한 조치 목록)

  • 영향을 받는 플러그인 버전: <= 3.1.19.8
  • 패치된 버전: 3.1.20.3 — 즉시 3.1.20.3 또는 이후 버전으로 업데이트하십시오.
  • CVE: CVE-2026-4853
  • 취약점 클래스: 임의 디렉토리 삭제로 이어지는 경로 탐색(잘못된 접근 제어)
  • 필요한 권한: 관리자(인증되어야 함)
  • CVSS 기본 점수(공식 권고): 4.9 — 낮지만 다른 문제와 연결될 경우 파괴적임
  • 즉각적인 단계:
    1. 플러그인을 3.1.20.3(또는 공급업체에서 제공한 패치된 버전)으로 업데이트하십시오.
    2. 즉시 업데이트할 수 없는 경우, WAF를 통해 가상 패칭을 적용하십시오(아래 예시 참조).
    3. 관리자 계정을 감사하고, 자격 증명을 교체하며, 2FA를 활성화하세요.
    4. 오프사이트에 저장된 백업을 확인하고 무결성을 보장하십시오.
    5. 의심스러운 로그를 모니터링하십시오. 제대로 정규화하거나 제한하지 못하면 매개변수 및 예상치 못한 삭제.

기술적 문제를 쉽게 설명

경로 탐색 취약점은 애플리케이션이 사용자 제어 파일 시스템 경로 입력(예: 파일 이름)을 수용하고 이를 적절히 정규화 및 검증하지 않을 때 발생합니다. 공격자는 다음과 같은 탐색 시퀀스를 삽입할 수 있습니다. ../ (또는 인코딩된 형태) 경로 해석을 의도된 디렉토리 외부로 이동합니다. 해당 입력이 적절한 검증 없이 파일 시스템 삭제 호출에 나중에 사용되면, 공격자는 플러그인의 작업 폴더 외부의 파일이나 디렉토리를 삭제할 수 있습니다.

이 특정 경우에:

  • 플러그인은 인증된 관리자가 백업 파일을 제거할 수 있는 관리 작업을 노출합니다. 제대로 정규화하거나 제한하지 못하면 매개변수.
  • 플러그인은 해당 매개변수를 충분히 제한하거나 정규화하지 않았습니다. 경로 탐색 시퀀스(예:, ../../../wp-config.php 또는 인코딩된 변형)를 제공함으로써, 관리자 권한을 가진 공격자는 예상되는 백업 디렉토리 외부에서 삭제 루틴이 작동하도록 할 수 있습니다.
  • 그 결과, 임의의 디렉토리나 파일이 제거될 수 있으며, 여기에는 다른 플러그인의 디렉토리, 업로드, 백업 저장소 또는 WordPress 핵심 파일이 포함될 수 있습니다.

취약점이 관리자 접근을 요구하기 때문에 원격 권한 상승 결함은 아니지만, 내부자, 손상된 관리자 계정 또는 피싱, 도난된 자격 증명 또는 사회 공학을 통해 이미 관리자 접근을 달성한 공격자에 의해 무기화될 수 있습니다.

왜 이것이 중요한가 (CVSS뿐만 아니라)

공개 자문은 필요한 높은 권한 때문에 상대적으로 낮은 CVSS 점수(4.9)를 부여합니다. 그럼에도 불구하고 운영 관점에서 이 취약점은 여러 가지 이유로 위험합니다:

  • 파괴적인 능력: 파일 및 디렉토리 삭제는 사이트의 완전한 실패와 백업 손실을 초래할 수 있습니다. 복구는 시간이 많이 걸리고 비용이 많이 들 수 있습니다.
  • 체인: 이미 관리자 접근 권한을 가진 공격자는 삭제를 사용하여 흔적을 감추거나, 포렌식 증거를 파괴하거나, 복구 메커니즘을 비활성화할 수 있습니다.
  • 자동화 가능성: 관리자는 일반적입니다 — 일부 환경에서는 공격자가 손상된 제3자 계정(계약자, 에이전시)을 통해 관리자 접근을 얻습니다. 자동화된 캠페인은 취약한 버전을 실행하는 사이트를 휩쓸 수 있습니다.
  • 알려지지 않은 영향 표면: 많은 호스트와 에이전시가 여러 사이트에 대해 백업 플러그인을 설치합니다. 단일 공급망과 같은 문제는 많은 고객에게 동시에 영향을 미칠 수 있습니다.

요약하자면: 영향을 받는 플러그인을 실행하고 사이트에 여러 관리자가 있거나 제3자 관리자 접근이 있는 경우, 이를 수정의 높은 우선 사항으로 간주하십시오.

익스플로잇이 어떻게 보일 수 있는지 (개념적)

관리자 접근 권한이 있는 공격자는 다음과 유사한 요청을 발행할 수 있습니다:

  • POST /wp-admin/admin-post.php?action=jetbackup_delete
  • 본문: fileName=../../../wp-content/uploads/old-backups/important-dir

또는 인코딩된 탐색을 포함한 AJAX 관리자 엔드포인트를 통해 제대로 정규화하거나 제한하지 못하면 탐색을 포함한 인코딩:

  • POST /wp-admin/admin-ajax.php?action=delete_backup
  • 본문: fileName=wp-contentuploadsold-backupsimportant-dir

플러그인이 해당 문자열을 정규 경로를 검증하지 않거나 의도된 백업 디렉토리 아래에 유지되는지 확인하지 않고 unlink/rmdir 호출에 연결하면 삭제가 성공합니다.

취약점 패턴의 예 (의사 코드)

이는 일반적인 안전하지 않은 패턴을 보여주는 설명적인 의사 코드 조각입니다:

<?php

왜 위험한가: $파일 포함할 수 있습니다 ../ 그리고 이스케이프 $dir. 정규화 및 검증 없이, 실제 경로() 또는 기본 이름() 검사가 사용되지 않아 외부 삭제가 허용됩니다 $dir.

안전한 입력 처리 패턴 (서버 측 강화)

코드를 강화하거나 플러그인 코드 경로를 업데이트할 수 있을 때까지 스스로 강화하려면 정규화 및 엄격한 포함 검사를 사용하십시오:

<?php

중요 참고 사항:

  • 기본 이름() 혼자서는 모든 시나리오에서 충분하지 않습니다. 결합하면 실제 경로() 허용된 기본 디렉토리와의 비교와 함께 강력해집니다.
  • 이러한 검사 없이 사용자 입력에 대해 파일 시스템 작업을 직접 수행하지 마십시오.

즉각적인 완화 단계 (우선 순위 순서)

  1. 플러그인을 패치된 버전(3.1.20.3 이상)으로 업데이트하십시오 — 먼저 이 작업을 수행하고 업데이트가 성공했는지 확인하십시오.
  2. 즉시 업데이트할 수 없는 경우:
    • 안전하게 업데이트할 수 있을 때까지 플러그인을 비활성화하십시오 (백업 프로세스가 일시적인 중단을 견딜 수 있는 경우).
    • 또는 WAF에 가상 패치 규칙을 적용하십시오 (아래 예시).
  3. 관리자 액세스 권한이 없어야 하는 계정의 자격 증명을 철회하거나 회전시키고, 최근 관리자 활동을 감사합니다.
  4. 모든 관리자 계정에 대해 이중 인증을 활성화/요구합니다.
  5. 중요한 디렉토리(wp-content, plugins, uploads)와 오프사이트에 저장된 백업의 무결성을 확인합니다.
  6. 웹 프로세스가 삭제할 수 있는 시스템 사용자를 제한하기 위해 파일 시스템 권한을 강화합니다(가능한 경우).
  7. 의심스러운 접근 로그를 모니터링합니다. 제대로 정규화하거나 제한하지 못하면 매스 삭제 패턴과 매개변수를 확인합니다.
  8. 삭제 활동을 감지하면 사이트를 격리하고, 로그를 보존하며, 알려진 좋은 백업에서 복원합니다.

지금 적용할 수 있는 가상 패치 / WAF 규칙

웹 애플리케이션 방화벽이나 서버 접근 제어를 운영하는 경우, 공격 시도를 차단하기 위한 타겟 규칙을 생성할 수 있습니다. 아래는 귀하의 환경에 맞게 조정할 수 있는 예제 규칙입니다.

경고: 합법적인 관리자 작업을 방해하는 잘못된 긍정 결과를 피하기 위해 먼저 스테이징 또는 드라이 런 모드에서 이러한 규칙을 테스트합니다.

Nginx 예제(사이트 구성에서):

# 파일 이름 매개변수를 경로 탐색 시퀀스와 함께 차단합니다(대소문자 구분 없음, 인코딩된 형태 포함)

Apache (.htaccess의 mod_rewrite):

# 파일 이름 인수가 경로 탐색 패턴(인코딩 또는 일반)을 포함하는 요청을 차단합니다.

ModSecurity 예시:

SecRule ARGS:fileName "@rx (?:\.\./|\.\.\\||)" \"

일반 WAF 서명(개념):

  • 요청에 매개변수 이름이 포함된 경우 차단합니다. 제대로 정규화하거나 제한하지 못하면 (또는 유사한 예상 매개변수 이름) 포함 ../ 또는 인코딩된 동등물과 같은 %2e%2e%2f 또는 2e2e2f (이중 인코딩됨).

참고:

  • 플러그인이 전송하는 방식에 맞게 매개변수 이름을 조정하세요 (대소문자가 다를 수 있습니다: 제대로 정규화하거나 제한하지 못하면, 파일 이름, 등).
  • 블록리스트는 다중 디렉토리 이름을 사용하는 합법적인 프로세스를 중단해서는 안 됩니다; 철저히 테스트하세요.
  • 플러그인을 업데이트할 때까지 규칙을 활성 상태로 유지하세요.

탐지 및 사고 대응: 지금 무엇을 검색할지

악용이 의심되거나 로그를 사전적으로 스캔하고 싶다면, 다음을 찾아보세요:

  • a를 포함하는 플러그인 관리자 엔드포인트에 대한 HTTP 요청 제대로 정규화하거나 제한하지 못하면 매개변수:
    • 예시: admin-ajax.php, admin-post.php, 또는 플러그인 전용 관리자 페이지.
  • 요청이 있는 곳 제대로 정규화하거나 제한하지 못하면 포함 ../, .., %2e%2e%2f, 또는 다른 인코딩된 탐색 시퀀스.
  • 갑작스러운 디렉토리 삭제 wp-콘텐츠, 업로드, 또는 플러그인 폴더.
  • 이전에 존재했던 누락되거나 비어 있는 백업 디렉토리.
  • 의심스러운 관리자 수준 활동과 일치하는 파일 시스템 수정 타임스탬프.
  • 특정 관리자 계정의 증가된 활동 (POST 요청의 갑작스러운 급증).

검색 명령어 (샘플; 로그 또는 로그 내보내기에서 실행):

# 파일 이름 매개변수에 대한 액세스 로그를 grep합니다 (간단함)"

삭제 활동의 징후를 발견하면:

  • 추가 피해를 방지하기 위해 사이트를 오프라인으로 전환하세요 (또는 접근을 제한하세요).
  • 로그와 파일 시스템의 스냅샷을 보존하세요 (포렌식).
  • 마지막으로 알려진 좋은 백업에서 복원합니다, 후에 공격자가 더 이상 관리자 접근 권한을 가지지 않도록 확인한 후.
  • 데이터 파괴가 심각한 경우 전문 사고 대응 팀을 고용하는 것을 고려하십시오.

삭제가 확인되거나 의심되는 후의 복구 체크리스트

  1. 증거 보존: 로그, 데이터베이스 덤프 및 현재 파일 시스템의 스냅샷을 복사합니다.
  2. 관리자 자격 증명 및 기타 특권 계정 자격 증명을 회전합니다.
  3. 사용되지 않은 API 키, OAuth 토큰 또는 사용되었을 수 있는 SSH 키를 취소합니다.
  4. 패치가 제공된 후 공급업체 소스에서 플러그인을 재설치합니다(필요한 경우 플러그인 디렉토리를 먼저 삭제하십시오).
  5. 검증된, 알려진 좋은 백업에서 파일을 복원합니다(가능하면 오프사이트 또는 불변 백업).
  6. 복원된 사이트를 웹쉘, 알 수 없는 관리자 사용자 또는 악성코드에 대해 다시 스캔합니다.
  7. 아래의 장기 강화 단계를 구현합니다.

장기 강화(미래 문제에 대한 폭발 반경 줄이기)

  • 최소 권한의 원칙:
    • 관리자 계정 수를 최소화합니다. 가능한 경우 편집자/저자 계정을 사용하십시오.
    • 자동화를 위해 별도의 서비스 계정을 사용하고 자격 증명을 회전합니다.
  • 모든 관리자 사용자에 대해 이중 인증을 시행합니다.
  • 알려진 관리자 주소에 대해 wp-admin 접근을 IP로 제한하거나 팀을 위해 VPN을 사용합니다.
  • 모든 플러그인, 테마 및 WordPress 코어를 업데이트 상태로 유지합니다; SLA 내에서 패치를 적용합니다.
  • 가상 패치를 자동으로 적용하고 의심스러운 패턴을 차단할 수 있는 관리형 WAF를 사용합니다.
  • 엄격한 파일 권한을 시행합니다: 웹 서버 사용자가 불필요하게 코드 디렉토리를 수정할 수 없도록 합니다.
  • 백업 전략 중앙 집중화:
    • 가능한 경우 백업을 오프사이트에 보관하고 변경 불가능하게 유지합니다.
    • 정기적으로 복원 테스트를 수행하십시오.
    • 여러 백업 세대를 유지합니다.
  • 예상치 못한 삭제 또는 수정을 감지하기 위해 파일 무결성 모니터링을 구현합니다.
  • 비정상적인 행동에 대한 관리자 활동 로깅 및 경고를 유지합니다.

기관 및 호스팅 제공업체를 위해 — 고객 플릿을 즉시 보호하는 방법

  • 플러그인 및 취약한 버전을 위해 호스팅 계정을 스캔합니다. WP-CLI를 사용하여 나열합니다: 
    wp 플러그인 목록 --path=/path/to/site --format=json
  • 고위험 고객을 우선시합니다: 멀티사이트, 전자상거래 및 고트래픽 사이트.
  • 엣지에서 WAF를 사용하여 플릿 전반에 걸쳐 가상 패치를 적용합니다 (위의 예제 규칙).
  • 안전한 경우 고객 사이트에서 플러그인을 일시적으로 중단하거나 비활성화합니다; 백업이 중요한 경우 고객과 조정합니다.
  • 고객을 위한 관리자 계정 감사 및 자격 증명 회전을 제공하거나 시행합니다.
  • 영향을 받거나 손상된 사이트가 있는 고객에게 관리된 복구 지원을 제공합니다.
  • 익스플로잇 시도를 감지하기 위해 플릿 전반에 걸쳐 모니터링을 구현하고 (일반 요청 패턴) 공격자 IP를 차단합니다.

이 취약점은 긴급한가요?

짧은 답변: 지금 업데이트하세요. 권장 사항이 관리자 접근이 필요하여 취약점을 중간 심각도로 평가하지만, 파괴적인 삭제 가능성으로 인해 수정이 긴급합니다:

  • 여러 사람이 관리자 접근 권한을 가지고 있습니다 (더 높은 내부자/위협 표면).
  • 관리자 자격 증명이 최근에 감사되지 않았습니다.
  • 사이트가 웹 서버에 접근 가능한 동일한 파일 시스템에 백업 또는 중요한 데이터를 저장합니다.

성숙한 패치 주기와 빠른 업데이트 프로세스가 있다면, 이는 일상적인 패치입니다. 복잡한 변경 창을 가진 여러 사이트를 관리하는 경우, WAF 가상 패치를 즉시 적용하고 플러그인 업데이트를 가장 빠른 유지 관리 창에 예약하십시오.

자주 묻는 질문

Q: 공격자가 인증을 받아야 하나요?
A: 네 — 이 취약점은 관리자 권한을 요구합니다. 그러나 공격자는 종종 피싱, 자격 증명 재사용 또는 손상된 공급업체 자격 증명을 통해 관리자 접근을 얻습니다. 관리자가 약한 제어를 하거나 오래된 관리자 계정을 가진 사이트는 더 높은 위험에 처해 있습니다.

Q: 익스플로잇 후 백업 복원이 충분할까요?
A: 중요한 파일이 삭제된 경우 복원이 필요합니다. 그러나 복원하기 전에 공격자가 더 이상 관리자 접근을 할 수 없도록 (자격 증명 회전, 백도어 제거) 먼저 확인해야 합니다. 그렇지 않으면 공격자가 다시 백업을 삭제할 수 있습니다.

Q: 파일 시스템 권한이 이를 방지할 수 있나요?
A: 적절한 권한은 피해 범위를 줄일 수 있습니다. 웹 프로세스가 특정 디렉토리를 삭제할 권한이 없다면 도움이 됩니다 — 그러나 많은 WordPress 설정은 업로드 및 플러그인을 관리할 수 있는 충분한 권한으로 웹 프로세스를 실행하므로 권한만으로 의존하지 마십시오.

Q: 플러그인을 완전히 비활성화해야 하나요?
A: 즉시 패치할 수 없고 다른 즉각적인 수정에 의존할 수 없다면, 업데이트할 수 있을 때까지 플러그인을 일시적으로 비활성화하는 것이 안전한 옵션입니다. 그러나 대체 백업 계획이 마련되어 있는지 확인하십시오.

예시 관리자 체크리스트 (단계별)

  1. 영향을 받는 사이트 식별:
    • 사이트 전반에 걸쳐 플러그인 버전을 검색합니다.
  2. 3.1.20.3 또는 최신 버전으로 업그레이드하기 위해 패치를 예약하거나 적용합니다.
  3. 패치가 지연되는 경우, 탐색을 차단하기 위해 WAF 규칙을 적용합니다. 제대로 정규화하거나 제한하지 못하면.
  4. 관리자 계정을 감사하고 2FA를 활성화합니다.
  5. 백업의 무결성을 확인하고 복원 계획을 준비합니다.
  6. 의심스러운 로그를 모니터링하십시오. 제대로 정규화하거나 제한하지 못하면 요청 및 삭제 이벤트.
  7. 누락된 파일에 대한 패치 후 스캔을 수행하고 필요한 경우 복원합니다.

몇 분 안에 사이트를 안전하게 보호하세요 — WP‑Firewall 무료 플랜으로 시작하세요.

CVE-2026-4853과 같은 익스플로잇으로부터 WordPress 사이트를 보호하는 것은 여러 겹의 방어에 관한 것입니다 — 취약한 플러그인 패치, 관리자 접근 제한, 애플리케이션 수준 결함을 이해하고 즉시 차단할 수 있는 방화벽을 갖추는 것입니다. WP‑Firewall의 기본(무료) 플랜은 몇 분 안에 활성화할 수 있는 필수 보호 기능을 제공합니다: 관리형 방화벽, 전체 WAF 커버리지, 악성 코드 스캐너, 무제한 대역폭, OWASP Top 10 위험에 대한 완화. 업데이트를 적용하는 동안 노출을 줄이기 위한 간단하고 즉각적인 단계를 원하신다면 WP‑Firewall의 무료 플랜을 시도해 보십시오 — 여기에서 가입하세요: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

기본 이상의 기능이 필요하다면, 우리의 표준 플랜은 자동 악성 코드 제거 및 IP 블랙리스트/화이트리스트 제어를 추가하고, 우리의 프로 플랜은 월간 보안 보고서, 자동 가상 패치 및 기업 수준 지원을 포함합니다.

WP‑Firewall 보안 팀의 마무리 노트

이 취약점은 관리자 전용 문제조차도 피해를 줄 수 있다는 명확한 경고입니다. 관리자 접근은 강력합니다 — 이를 잃는 것은 종종 많은 침해의 근본 원인입니다. 올바른 접근 방식은 여러 겹의 방어입니다: 빠르게 패치하고, 관리자 노출을 줄이며, 강력한 인증을 시행하고, 테스트된 백업을 유지하며, 업데이트를 즉시 적용할 수 없을 때 가상 패치를 시행할 수 있는 WAF를 운영하는 것입니다.

여러 WordPress 사이트를 관리하는 경우, 이 취약점을 귀하의 전체에서 일상적인 고우선 순위 패치로 취급하십시오 — 또는 가상 패치를 적용하고, 익스플로잇 시도를 모니터링하며, 필요할 경우 사이트를 신속하게 복원할 수 있는 관리형 보안 파트너와 협력하십시오.

위에서 보여준 WAF 규칙이나 서버 수준 완화 조치를 구현하는 데 도움이 필요하면, WP‑Firewall의 문서 및 지원 팀이 도와줄 수 있습니다 — 그리고 우리의 무료 플랜은 패치를 하는 동안 공격 표면을 줄이는 쉬운 첫 단계입니다.

안전하게 지내고, 신속하게 패치하세요.

— WP‑Firewall 보안 팀

wordpress security update banner

WP Security Weekly를 무료로 받으세요 👋
지금 등록하세요!!

매주 WordPress 보안 업데이트를 이메일로 받아보려면 가입하세요.

우리는 스팸을 보내지 않습니다! 개인정보 보호정책 자세한 내용은

무료 WordPress 보안 컨설팅을 예약하려면 저희에게 연락하세요.

문의하기

WP-방화벽
6층, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

특징 가격 블로그 로그인
개인정보 보호정책 서비스 약관 문서 제휴하다

© 2026 WP-Firewall™