플러그인 이름	AddFunc 헤드 및 푸터 코드
취약점 유형	크로스 사이트 스크립팅(XSS)
CVE 번호	CVE-2026-2305
긴급	낮은
CVE 게시 날짜	2026-04-10
소스 URL	CVE-2026-2305

AddFunc 헤드 및 푸터 코드 플러그인 XSS (CVE-2026-2305): 워드프레스 사이트 소유자가 알아야 할 사항 — 그리고 WP­Firewall이 당신을 보호하는 방법

날짜: 2026년 4월 10일
심각도 (Patchstack 목록): 낮음 (CVSS 6.5)
영향을 받는 버전: <= 2.3
패치된 버전: 2.4
필요한 권한: 기여자 (인증됨)

최근 공개된 내용(CVE-2026-2305)은 워드프레스용 AddFunc 헤드 및 푸터 코드 플러그인(버전 2.3까지)의 인증된 저장 크로스 사이트 스크립팅(XSS) 취약점을 설명합니다. 이 취약점은 기여자 수준의 접근 권한을 가진 사용자가 사용자 정의 필드를 통해 스크립트와 유사한 페이로드를 주입할 수 있게 하며, 이는 나중에 비위생적으로 렌더링되어 해당 필드가 출력되는 페이지나 관리자 화면에서 저장된 XSS를 생성할 수 있습니다.

WP­Firewall(워드프레스 보안 및 관리형 WAF 제공업체) 팀의 일원으로서, 위험, 현실적인 공격 시나리오, 탐지 및 정리 단계, 즉시 적용해야 할 계층적 보호 조치에 대한 읽기 쉽고 실용적인 분석을 제공하고자 합니다. 또한 우리의 방화벽 기능이 어떻게 당신을 보호하는지(가상 패치 및 WAF 서명 포함) 설명하고, 개발자 및 사이트 관리자에게 안전한 코드 및 구성 지침을 제공하겠습니다.

이는 워드프레스 보안 전문가의 관점에서 작성되었습니다 — 실용적이고, 비논리적이며, 오늘 사용할 수 있는 재현 가능한 단계가 포함되어 있습니다.

---

요약 — 무슨 일이 일어났고 왜 중요한가

• AddFunc 헤드 및 푸터 코드 플러그인(버전 <= 2.3)은 사용자 제공 콘텐츠가 충분한 위생 처리/이스케이프 없이 출력에 포함될 수 있도록 허용했습니다.
• 기여자 권한을 가진 인증된 사용자는 스크립트 태그나 이벤트 핸들러를 포함하는 페이로드를 저장할 수 있습니다.
• 그 콘텐츠가 나중에 프론트엔드 또는 관리자 페이지에서 적절한 이스케이프 없이 렌더링될 경우, 저장된 스크립트가 방문자 또는 관리자의 브라우저에서 실행됩니다.
• 영향은 필드가 렌더링되는 위치에 따라 다릅니다:
  • 페이로드가 프론트엔드(공개 페이지)에서 실행되면, 사이트 방문자가 영향을 받을 수 있습니다(악성 리디렉션, 가짜 양식, 암호화폐 채굴기, 콘텐츠 주입).
  • 페이로드가 관리자 페이지 내에서 실행되면(예: 편집자나 관리자가 대시보드에서 게시물을 열 때), 더 높은 권한을 가진 사용자가 표적이 되어 사이트 탈취로 이어질 수 있습니다: 계정 탈취, 플러그인/테마 설치, 설정 변경 또는 백도어 설치.
• 플러그인은 2.4 버전에서 패치되었습니다. 영향을 받는 사이트의 즉각적인 올바른 조치는 2.4 이상으로 업데이트하는 것입니다.

---

기여자가 위험할 수 있는 이유 — 실제 위협 모델

많은 사이트 소유자들은 기여자 수준의 사용자가 콘텐츠를 게시할 수 없기 때문에 위험이 낮다고 생각합니다. 이는 콘텐츠 관리에 대한 유효한 개념이지만, 기여자는 여전히 일반적으로 게시물을 생성하고 자신의 초안을 편집하며 사용자 정의 필드를 추가할 수 있습니다(사이트 구성에 따라 다름). 사용자 정의 필드를 통한 저장된 XSS는 특히 위험합니다.

• 악성 콘텐츠는 지속적입니다 — 데이터베이스에 저장되며 렌더링될 때마다 트리거됩니다.
• 사이트나 테마가 사용자 정의 필드를 관리자 페이지(게시물 미리보기, 메타 박스) 또는 프론트엔드 페이지에 이스케이프 없이 출력하면, 스크립트는 브라우저에서 보는 사용자의 권한으로 실행됩니다.
• 공격자는 관리자의 인증된 세션과 위조된 요청(CSRF와 XSS 결합)을 활용하여 관리자를 대신해 작업을 수행하는 페이로드를 제작할 수 있습니다(비밀번호 변경, 관리자 계정 생성, 플러그인 설치).

요약하자면: 콘텐츠에 대해 신뢰했던 사용자로부터의 기여는 정화/이스케이프가 누락된 경우 사이트 손상으로 전환될 수 있습니다.

---

전형적인 악용 흐름(고수준, 실행 불가능)

1. 공격자는 기여자 권한이 있는 계정을 등록하거나 사용합니다(또는 하나를 손상시킵니다).
2. 공격자는 초안을 편집하거나 게시물을 생성하고 사용자 정의 필드에 악성 콘텐츠를 추가합니다(예:, <script>…</script> 또는 onerror=… 허용된 태그 내의 속성 기반 페이로드와 같은).
3. 사이트는 해당 콘텐츠를 postmeta에 저장합니다.
4. 게시물이 플러그인이나 테마가 해당 사용자 정의 필드를 비정화된 상태로 출력하는 컨텍스트에서 로드될 때(프론트엔드 페이지, 관리자 미리보기 또는 메타 박스), 브라우저는 주입된 코드를 실행합니다.
5. 관리자가 관리자 인터페이스에서 영향을 받은 페이지나 게시물을 보거나(방문자가 타겟이 되는 경우) 주입된 스크립트는:
   • 관리자 쿠키를 탈취할 수 있습니다(만약 HttpOnly가 아닐 경우 — 현대의 모범 사례는 쿠키 탈취를 줄이지만 모든 사이트가 이를 따르지는 않습니다),
   • REST API / 관리자 엔드포인트를 통해 새로운 관리자 계정을 생성하기 위해 관리자 권한을 사용할 수 있습니다,
   • 플러그인/테마 파일이나 설정을 수정할 수 있습니다,
   • 백도어를 설치하거나 추가 악성 코드를 지속시킬 수 있습니다,
   • 데이터를 유출할 수 있습니다.

악용은 종종 관리자가 상호작용해야 하므로(관리자에서 게시물을 보거나 특정 미리보기 링크를 클릭해야 함), Patchstack는 “사용자 상호작용 필요”를 나열하지만, 이 상호작용은 게시물 편집기 열기 또는 조작된 미리보기 링크 클릭과 같이 간단할 수 있습니다.

---

사이트를 보호하기 위한 실용적인 단계 — 즉각적인 조치 (체크리스트)

1. 플러그인 업데이트
   – AddFunc Head & Footer Code를 실행 중이라면 즉시 버전 2.4 이상으로 업데이트하세요. 이것이 정식 수정 방법입니다.
2. 즉시 업데이트할 수 없는 경우
   – 플러그인을 제거하거나 일시적으로 비활성화하세요.
   – 플러그인이 업데이트될 때까지 기여자 계정이 사용자 정의 필드를 편집하거나 추가하지 못하도록 차단하세요.
   – WAF 수준에서 가상 패치를 적용하세요 (아래 WAF 안내 참조).
3. 사용자 정의 필드에서 악성 콘텐츠를 스캔하세요
   – WP­CLI 또는 직접 DB 쿼리를 사용하여 메타 값 찾기 <script, 오류 발생=, 자바스크립트:, 또는 의심스러운 HTML을 제거하세요.
       – 예시 (먼저 DB를 백업하세요):
          wp db 쿼리 "SELECT post_id, meta_key, meta_value FROM wp_postmeta WHERE meta_value LIKE '%
       – 또한 검색하세요 오류 발생=, 온로드=, 자바스크립트: 패턴.
   – 항목을 검토하고 의심스러운 메타 값을 제거하거나 정리하세요.
4. 사용자 계정 감사
   – 모든 기여자 및 편집자를 확인하세요: 그들은 합법적인가요? 오래된 또는 의심스러운 계정을 제거하세요.
   – 특권 역할(편집자, 관리자)에 대해 강력한 비밀번호와 2FA를 적용하세요.
5. 보안 침해 징후 확인
   – 알 수 없는 관리자 계정, 예상치 못한 플러그인/테마 파일, 최근 수정된 파일, 예약된 작업 및 서버에서의 아웃바운드 연결을 찾아보세요.
   – 악성 코드 스캔을 실행하세요 (WP­Firewall의 스캐너 또는 다른 신뢰할 수 있는 스캐너).
6. 침해가 의심되는 경우 자격 증명 및 API 키를 교체하세요
   – 관리자 비밀번호와 노출된 API 키를 변경하세요.
   – 필요시 세션을 무효화하세요 (모든 사용자 강제 로그아웃).
7. 정리 전에 백업
   – 수정 전에 전체 사이트 백업(파일 및 DB)을 수행하세요. 이는 증거를 보존하고 롤백 지점을 제공합니다.
8. 앞으로 사용자 정의 필드를 강화하세요
   – 저장 시 정리를 요구하고 출력 시 이스케이프를 적용하세요 — 아래 코드 권장 사항을 참조하세요.

---

악성 저장 XSS 항목을 안전하게 찾는 방법

데이터베이스에서 의심스러운 콘텐츠를 검색하는 것은 중요하지만 신중하게 수행해야 합니다:

• 쿼리를 실행하거나 변경하기 전에 항상 백업을 만드세요.
• 의심스러운 항목을 식별하기 위해 읽기 전용 쿼리로 시작한 다음 수동으로 검토하세요.
• 예시 WP­CLI 탐지 쿼리:

# <script가 포함된 postmeta 찾기"

의심스러운 메타 값을 내보내고 검사한 다음 정리하거나 제거할지 결정하세요.

---

의심스러운 항목 정리

악성 메타 값을 식별한 경우:

• 항목이 명백히 악성인 경우(전체 13. 의심스러운 페이로드가 매개변수 또는 POST 본문에 포함된 요청을 차단하는 WAF 규칙 또는 가상 패치와 같은 추가 보호를 활성화하십시오. 블록), 메타 행을 제거하세요.
• 항목에 유용한 데이터가 포함되어 있지만 주입된 태그도 있는 경우, 콘텐츠를 정리하세요:

<?php

데이터베이스를 수동으로 편집하는 것이 불편하다면 개발자나 호스트에 문의하세요.

---

개발자 안내: 사용자 정의 필드의 안전한 처리(저장 시 정리 및 출력 이스케이프)

이러한 취약점은 일반적으로 입력에 대한 정리가 누락되거나 불충분하고 출력에 대한 이스케이프가 누락되어 발생합니다. 두 가지 원칙을 따르세요:

1. 저장 시 정리(저장된 데이터가 안전하도록)
2. 출력 시 이스케이프(저장된 데이터를 절대 신뢰하지 마세요)

권장 패턴:

• 메타를 저장할 때 WordPress 정리 함수를 사용하세요:

1. <?php

• // 메타 박스 또는 REST 엔드포인트에 대한 콜백 저장

function myplugin_save_postmeta( $post_id ) {

• if ( ! isset( $_POST['my_custom_field'] ) ) {

return;

• // 논스 및 권한 확인.

---

if ( ! wp_verify_nonce( $_POST['my_custom_field_nonce'], 'save_my_custom_field' ) ) {

return;.

if ( ! current_user_can( 'edit_post', $post_id ) ) {

• return;, // 입력 정리 - 간단한 텍스트만 허용).
• $value = sanitize_text_field( wp_unslash( $_POST['my_custom_field'] ) ); 13. 의심스러운 페이로드가 매개변수 또는 POST 본문에 포함된 요청을 차단하는 WAF 규칙 또는 가상 패치와 같은 추가 보호를 활성화하십시오. // 또는 제한된 HTML이 필요한 경우:오류 발생=, 온로드=), 자바스크립트: // $value = wp_kses( $_POST['my_custom_field'], array('a' => array('href' => true)) );.
• update_post_meta( $post_id, '_my_custom_field', $value );.
• add_action( 'save_post', 'myplugin_save_postmeta' );.

?>

2. 출력 시 항상 컨텍스트에 따라 이스케이프하십시오:'

3. <?php.

// HTML 본문 내용에서.

---

WAF 규칙 예제 — ModSecurity 스타일 (예제, 환경에 맞게 조정)

아래는 시작점으로 사용할 수 있는 예제 패턴입니다. 이는 설명을 위한 것이며, 잘못된 긍정 결과를 피하기 위해 신중하게 테스트해야 합니다:

# 예제 ModSecurity 규칙으로 POST 본문에서  태그를 감지"

# 이벤트 속성(onerror= 또는 onload=)을 감지하는 예제 규칙"

중요: 항상 스테이징 환경에서 규칙을 테스트하여 합법적인 엣지 케이스를 식별하고(일부 합법적인 콘텐츠는 허용된 HTML을 포함할 수 있음) 규칙을 적절히 조정하십시오.

---

탐지 — 로그 및 악용 지표

악용이 발생했다고 의심되는 경우:

• 게시물을 생성하거나 수정하는 POST에 대한 서버 접근 로그를 확인하십시오 (/wp-admin/post.php, /wp-json/wp/v2/posts에 대한 POST).
• 의심스러운 POST 매개변수에 대한 애플리케이션 로그(있는 경우)를 확인하십시오.
• 수정된 플러그인/테마 파일, 낯선 파일 또는 웹쉘을 보여주는 악성 코드 스캐너의 경고를 확인하십시오.
• 새로 생성된 관리자 계정에 대한 관리자 사용자 목록을 확인하십시오.
• 서버에서 알 수 없는 호스트로의 아웃바운드 연결을 확인하십시오.
• 알 수 없는 PHP 실행에 대한 최근 크론 작업 및 예약된 작업을 검토하십시오.

postmeta에서 주입된 콘텐츠를 발견하면 잠재적인 침해로 간주하십시오: 전체 사고 대응을 수행하십시오(격리, 포렌식 스냅샷, 필요한 경우 깨끗한 백업에서 복원).

---

감염 후 — 복구 및 강화

사이트가 침해되었다는 증거를 발견하면:

1. 격리하다 조사를 하는 동안 사이트를 오프라인으로 전환하거나 인바운드 접근을 차단하십시오.
2. 증거 보존: 전체 스냅샷을 찍고 로그(웹서버, 데이터베이스)를 보존하십시오.
3. 지속성 메커니즘 식별: 추가된 관리자 사용자, 수정된 wp-config.php, 교체된 핵심 파일, 악성 플러그인/테마, 크론 작업, 예약된 이벤트를 확인하십시오.
4. 정리: 악성 파일 및 데이터베이스 항목을 제거하십시오. 확실하지 않은 경우 깨끗한 백업에서 복원하십시오.
5. 자격 증명을 변경합니다.: 모든 비밀번호를 재설정하고, API 키를 취소하며, SSH 키를 교체하십시오.
6. 패치: WordPress 코어, 플러그인 및 테마를 최신 버전으로 업데이트하십시오.
7. 강화: 파일 권한을 제한하고, wp-config.php를 통해 파일 편집을 비활성화하십시오 (define('DISALLOW_FILE_EDIT', true)), 모든 관리자에 대해 2FA를 시행하고, 모든 계정에 대해 최소 권한을 검토하십시오.
8. 감시 장치: 보안 모니터링, 파일 무결성 모니터링 및 중요한 이벤트에 대한 경고를 활성화하십시오.

---

장기적인 통제 — 역할 남용 및 신뢰할 수 없는 HTML로 인한 위험을 줄이십시오.

• 콘텐츠를 편집할 수 있는 계정 수를 최소화하고, 최소 권한을 적용하십시오.
• 가능한 경우 사용자 제출 콘텐츠에 대한 승인 워크플로를 요구하십시오 (게시 전에 검토).
• 사용자 정의 필드를 추가하거나 사용자 정의 필드 렌더링을 노출하는 플러그인을 사용할 수 있는 역할을 제한하십시오.
• 필드에 HTML을 삽입하는 위험에 대해 기여자들을 교육하십시오.
• 삽입된 스크립트의 영향을 제한하기 위해 콘텐츠 보안 정책 (CSP) 헤더를 사용하십시오 (이는 일부 XSS 공격의 범위를 줄일 수 있습니다).
• 많은 기여자가 있는 사이트의 경우 더 강력한 역할 분리를 활성화하고 조정 흐름 플러그인을 고려하십시오.

---

신뢰할 수 있는 WAF + 관리형 보안이 복구 시간을 단축하는 방법

관리형 WAF 및 보안 서비스는 다음을 제공합니다:

• 빠른 가상 패치: 애플리케이션 코드를 수정할 필요 없이 즉시 공격 시도를 차단합니다.
• 연구가 발표됨에 따라 서명 업데이트가 이루어져 규칙이 새로운 페이로드를 포착합니다.
• 삽입된 콘텐츠를 찾고 수정하기 위한 악성코드 스캔 및 제거 도구.
• 24/7 로그를 모니터링할 필요가 없도록 모니터링 및 경고 기능.
• 사고 대응 중 안내 및 필요 시 롤백 지원.

1. WP­Firewall은 이러한 기능을 WordPress에 특화된 논리(요청 패턴, REST 엔드포인트, 관리자 엔드포인트)와 결합하여 메타에 저장된 XSS와 같은 일반적인 WordPress 벡터를 목표로 하는 공격을 탐지하고 완화할 수 있습니다.

---

2. 실용적인 WAF 조정 노트(허위 긍정 감소)

• 3. 신뢰할 수 있는 관리자 IP를 공격적인 차단에서 제외하면 관리자 작업 흐름 중단을 방지할 수 있지만, 보안 위험과 균형을 맞춰야 합니다.
• 4. 모든 태그를 전역적으로 차단하기보다는 메타 필드에 일반적으로 사용되는 매개변수 이름(메타[], postmeta, acf, 사용자 정의 필드)과 일치하는 규칙을 사용하십시오. 13. 의심스러운 페이로드가 매개변수 또는 POST 본문에 포함된 요청을 차단하는 WAF 규칙 또는 가상 패치와 같은 추가 보호를 활성화하십시오. 전 세계적으로 태그.
• 6. 의심스러운 요청이지만 명확히 악의적이지 않은 요청을 차단하기 전에 일정 기간 동안 기록하십시오(경고 전용 모드) — 이는 서명을 사이트의 사용 패턴에 맞게 조정하는 데 도움이 됩니다.

---

7. 예시 사건 대응 플레이북(간결함)

1. 8. 플러그인을 2.4로 업데이트하십시오(가능한 경우).
2. 9. 즉각적인 업데이트가 불가능한 경우: POST 본문에서 postmeta 매개변수를 목표로 하는 스크립트 및 이벤트 속성을 검사하는 가상 패치 규칙을 활성화하십시오.
3. 10. 의심스러운 메타 값을 찾기 위해 DB 쿼리를 실행하고 결과를 내보내어 검토하십시오.
4. 11. 확인된 악의적 항목을 제거하고 모호한 항목을 정리하십시오.
5. 12. 모든 관리자에 대해 비밀번호를 재설정하고 2FA를 시행하십시오.
6. 13. 수정된 파일과 알 수 없는 PHP 파일에 대해 파일 시스템을 스캔하십시오.
7. 14. 복구가 불확실한 경우 깨끗한 백업에서 복원하십시오.
8. 15. 반복 시도를 모니터링하고, 문제의 IP를 차단하십시오.

---

16. 이 종류의 버그를 제거하기 위한 개발자 친화적인 권장 사항

• 17. 항상 저장 시 정리하고 출력 시 이스케이프하십시오.
• 18. WordPress API를 사용하십시오: sanitize 콜백이 있는 register_post_meta, sanitize_text_field, wp_kses_post, esc_html, esc_attr.
• 19. 관리자 측 저장 작업에 대해 nonce 및 권한 검사를 사용하십시오.
• 20. 절대적으로 필요하지 않은 한 원시 HTML을 저장하는 것을 피하십시오; 만약 저장한다면, wp_kses로 허용된 태그와 속성을 제한하십시오.
• CI/CD 파이프라인의 보안을 포함하세요: 플러그인/테마 출시 전에 정적 분석, 종속성 검사 및 보안 검토를 수행합니다.

---

사이트가 더 이상 취약하지 않은지 확인하는 방법

1. AddFunc 헤드 및 푸터 코드가 2.4 이상으로 업데이트되었는지 확인하세요.
2. 실행될 수 있는 포스트메타 항목이 없는지 확인하세요. 13. 의심스러운 페이로드가 매개변수 또는 POST 본문에 포함된 요청을 차단하는 WAF 규칙 또는 가상 패치와 같은 추가 보호를 활성화하십시오. 또는 실행될 수 있는 이벤트 속성이 없습니다.
3. 사이트의 프론트엔드 및 관리자 페이지가 사용자 정의 필드 출력을 이스케이프하는지 확인하세요.
4. 차단된 시도를 위한 WAF 로그를 확인하고 로깅/알림이 활성화되어 있는지 확인하세요.
5. 전체 맬웨어 스캔을 실행하고 파일 무결성을 확인하세요.

---

WP­Firewall의 무료 보호로 시작하세요.

WordPress 사이트를 보호하는 것은 복잡하지 않아야 합니다. 플러그인 업데이트를 검토하고 의심스러운 콘텐츠를 정리하는 동안 즉각적인 기본 보호를 원하신다면 WP­Firewall의 무료 기본 요금제에 가입하는 것을 고려해 보세요. 무료 요금제에는 적극적으로 관리되는 방화벽, 무제한 대역폭, WAF, 맬웨어 스캐너 및 OWASP Top 10 위험에 대한 완화 범위가 포함되어 있습니다 — 많은 일반적인 공격 시도를 차단하고 팀이 안전하게 수정할 수 있는 여유를 제공합니다. 여기에서 WP­Firewall Basic을 무료로 사용해 보세요: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(자동 맬웨어 제거 및 IP 블랙리스트와 같은 더 고급 제어를 원하신다면, 유료 요금제가 적당한 연간 비용으로 이러한 기능을 추가합니다.)

---

최종 권장 사항 — 우선 순위 작업 목록 (짧음)

1. AddFunc 헤드 및 푸터 코드를 지금 2.4+로 업데이트하세요.
2. 즉시 업데이트할 수 없다면, 플러그인을 차단하거나 비활성화하고 WAF 가상 패치 규칙을 적용하세요.
3. 악성 사용자 정의 필드 항목을 스캔하고 제거하세요.
4. 사용자 감사 및 특권 계정에 대한 비밀번호/2FA를 시행하세요.
5. 사용자 정의 필드에 대한 저장 시간 위생 및 출력 시간 이스케이프를 강화하세요.
6. 즉각적인 보호 및 모니터링을 위해 WP­Firewall 또는 관리형 WAF를 사용하세요.

---

마무리 생각

이 취약점은 겉보기에는 낮은 권한 역할과 작은 플러그인도 데이터가 저장되고 나중에 적절한 위생 및 이스케이프 없이 렌더링될 경우 과도한 위험을 초래할 수 있음을 상기시킵니다. WordPress는 유연하며, 이는 가장 큰 강점이자 코드가 신뢰를 가정할 때 가장 빈번한 위험의 원천입니다.

업데이트를 적용하고 의심스러운 메타 값을 스캔하여 제거하며, 사이트 앞에 WAF를 배치하세요 — 안전한 코드의 영구적인 대체물로서가 아니라, 근본 원인을 수정하는 동안 시간을 벌어주는 필수 보완 통제로서입니다. WAF 규칙, 가상 패치 또는 사건 후 정리에 대한 도움을 원하신다면, WP­Firewall 팀은 빠르고 WordPress에 대한 인식이 있는 완화에 전문화되어 있습니다.

단계별 감사 또는 지원이 필요하시면 보안 제공업체에 문의하시거나 WP­Firewall의 무료 플랜을 이용하여 문제를 해결하는 동안 즉각적인 기본 보호를 받으세요.

안전을 유지하고 사용자 정의 필드를 신뢰할 수 없는 입력으로 취급하세요 — 정리하고, 이스케이프하고, 검토하세요.

— WP-Firewall 보안 팀