
| 플러그인 이름 | 퓨전 빌더 |
|---|---|
| 취약점 유형 | 데이터 노출 |
| CVE 번호 | CVE-2026-1541 |
| 긴급 | 낮은 |
| CVE 게시 날짜 | 2026-04-15 |
| 소스 URL | CVE-2026-1541 |
Fusion Builder (Avada) 민감한 데이터 노출 이해 및 완화 (CVE‑2026‑1541)
워드프레스 보안 전문가로서 우리는 모든 규모의 사이트에 대해 무기화될 수 있는 플러그인 및 테마 취약점을 지속적으로 모니터링합니다. 2026년 4월 15일 Fusion Builder (Avada) 플러그인에 영향을 미치는 취약점이 공개되었습니다 — CVE‑2026‑1541로 추적됩니다. 이 문제는 3.15.1 버전까지 영향을 미치며 3.15.2에서 패치되었습니다.
이 권고문은 취약점이 무엇인지, 누가 영향을 받는지, “낮은 심각도” 문제도 중요한 이유, 사이트 소유자와 개발자가 어떻게 대응해야 하는지, 즉시 적용할 수 있는 실용적인 완화 방법을 설명합니다 — WP‑Firewall이 지금 귀하의 사이트를 어떻게 보호할 수 있는지, 즉시 업데이트할 수 없더라도 포함됩니다.
읽는 시간: ~12–16분.
요약
- 무엇: Fusion Builder (Avada) 3.15.1 버전까지의 불안전한 직접 객체 참조(IDOR)는 구독자 권한을 가진 인증된 사용자가 해당 역할에 대해 표시되지 않아야 하는 민감한 데이터에 접근할 수 있게 합니다.
- CVE: CVE‑2026‑1541
- 영향: 민감한 데이터 노출 (OWASP A3), CVSS: 4.3 (낮음). 낮은 CVSS에도 불구하고 데이터 노출은 더 높은 영향력의 공격(사회 공학, 권한 상승, 정찰)으로 연결될 수 있습니다.
- 영향을 받는 버전: 퓨전 빌더 (아바다) <= 3.15.1
- 패치됨: 3.15.2 — 즉시 업데이트하십시오.
- 권장되는 즉각적인 조치: 3.15.2로 업데이트하십시오; 즉시 업데이트할 수 없는 경우 가상 패치 / 타겟 WAF 규칙을 적용하고, 위험한 엔드포인트에 대한 접근을 제한하며, 의심스러운 활동에 대해 사이트를 감사하고, 필요에 따라 자격 증명을 회전하십시오.
무슨 일이 발생했는지 — 취약점을 쉽게 설명
불안전한 직접 객체 참조(IDOR)는 애플리케이션이 내부 객체 식별자(예: 게시물 ID, 템플릿 ID, 미디어 ID, 사용자 ID)를 노출하여 공격자가 식별자를 조작하여 접근해서는 안 되는 객체에 접근할 수 있게 할 때 발생합니다. 적절한 권한 확인이 누락되었거나 불완전합니다.
이 경우 Fusion Builder 내부의 엔드포인트는 클라이언트(AJAX 또는 REST 요청)가 제공한 객체 식별자에 따라 데이터를 반환했습니다. 플러그인은 요청하는 사용자가 해당 객체에 접근할 권한이 있는지 신뢰할 수 있게 확인하지 못했습니다. 플러그인이 구독자 역할의 인증된 사용자에게 해당 엔드포인트를 노출했기 때문에, 공격자는 대상 사이트에서 구독자 계정을 등록하거나 이미 제어하고 있는 경우 ID로 다른 객체를 요청하고 민감한 정보(사이트 구성, 저장된 템플릿, 첨부 파일 또는 사용자 관련 메타데이터)를 받을 수 있었습니다. 이는 플러그인이 사이트에서 어떻게 사용되었는지에 따라 달라집니다.
공급자는 적절한 권한 확인을 추가하고/또는 객체 접근 로직을 정리하기 위해 패치(3.15.2)를 출시했습니다.
“낮은 심각도” IDOR가 여전히 중요한 이유
CVSS 점수 4.3은 이 문제를 낮음 심각도 범주에 놓습니다. 이는 문제가 무시해도 안전하다는 것을 의미하지 않습니다:
- 민감한 정보는 표적 피싱, 사회 공학 또는 더 설득력 있는 인수 시도를 만드는 데 사용될 수 있습니다.
- 노출된 정보에는 내부 ID, 이메일 주소, 옵션에 저장된 API 키 또는 공격자가 사이트 구조와 사용자를 매핑하는 데 도움이 되는 콘텐츠가 포함될 수 있습니다.
- 대량 가입 또는 자동 구독자 생성은 많은 사이트에서 일반적입니다(댓글 등록, 전자상거래 계정, 회원 흐름). 사이트가 쉽게 구독자 등록을 허용하면 악용 장벽이 낮아집니다.
- 공격자는 여러 작은 문제를 결합하여 확대합니다: 정찰 → 자격 증명 채우기 → 권한 상승.
책임 있는 사이트 소유자로서 이를 실행 가능한 것으로 간주하고 즉시 완화 조치를 적용하십시오.
기술 개요(악용 코드 없음)
주의: 우리는 쉽게 무기화될 수 있는 개념 증명을 게시하지 않을 것입니다. 대신 방어자와 개발자가 이해하고 수정할 수 있도록 충분한 기술 세부 정보를 제공합니다.
- 근본 원인: 엔드포인트(아마도 AJAX 작업 또는 REST 경로)는 클라이언트로부터 객체 식별자를 수락하고 현재 사용자가 해당 리소스를 볼 수 있는 권한이 있는지 확인하지 않고 리소스를 반환했습니다.
- 접근 범위: 엔드포인트는 구독자 권한(또는 그 이상)을 가진 인증된 사용자에게 접근을 허용했습니다. 구독자는 WordPress에서 가장 낮은 권한 역할 중 하나로, 공격자는 계정을 등록하거나 하나를 손상시키기만 하면 악용할 수 있습니다.
- 위험에 처한 데이터: 플러그인 구성 및 사이트 사용에 따라 노출된 데이터에는 다음이 포함될 수 있습니다:
- 템플릿으로 사용되는 비공식 게시물 콘텐츠 또는 초안 콘텐츠.
- 템플릿 설정, 레이아웃 JSON, CSS 또는 Fusion Builder 요소에 대한 구성.
- 내부 경로, 제3자 API 키 또는 토큰(개발자가 실수로 비밀을 거기에 저장한 경우)을 포함하는 메타데이터.
- 민감한 파일을 드러낼 수 있는 첨부 파일 메타데이터(파일 URL, 파일 이름).
- 객체와 연결된 사용자 메타데이터(이메일 주소, 표시 이름).
- 패치: 공급자는 누락된 권한 확인을 수정하고 식별자 및 입력 정화를 위한 서버 측 유효성 검사를 추가했습니다. 3.15.2 이상으로 업데이트하십시오.
사이트 소유자 및 관리자에 대한 즉각적인 조치
- 플러그인을 버전 3.15.2(또는 이후 버전)로 업데이트하십시오 — 최우선 사항
- 이것이 정식 수정입니다. 스테이징에서 테스트한 후 많은 사용자 정의가 있는 경우 유지 관리 창 동안 프로덕션으로 푸시하십시오.
- 즉시 업데이트할 수 없는 경우:
- WP-Firewall을 통해 가상 패치를 적용하십시오(아래에서 제안된 가상 패치/서명 아이디어를 참조하십시오).
- 사용자 등록을 일시적으로 제한하거나 새로운 사용자에 대한 관리자 승인을 요구합니다.
- 엄격한 콘텐츠 접근 규칙을 구현하고 의심스러운 구독자를 위한 사용자 목록을 검토하여 사이트를 강화합니다.
- 플러그인 옵션이나 템플릿에 저장된 키, 토큰 또는 자격 증명을 취소하거나 교체합니다.
- 감사 로그 및 파일 시스템:
- 취약점 공개 날짜 이후의 이상한 활동에 대해 인증 로그 및 관리자 작업을 검토합니다.
- 승인하지 않은 게시물, 템플릿 또는 업로드의 변경 사항을 확인합니다.
- 알림:
- 클라이언트 사이트를 담당하는 개발자라면, 문제 및 수정 일정에 대해 클라이언트에게 알립니다.
- 백업:
- 업데이트를 적용하기 전에 최근의 오프사이트 백업이 있는지 확인합니다.
탐지: 타겟이 되었는지 확인하는 방법
취약점이 모든 구독자(또는 구독자를 생성할 수 있는 사람)에 의해 악용될 수 있기 때문에, 탐지는 비정상적인 구독자 활동 및 상세 콘텐츠를 반환하는 엔드포인트에 대한 예상치 못한 접근 패턴에 초점을 맞춥니다.
다음을 찾습니다:
- 구독자 계정이 다른 저자에게 속하는 객체를 요청하는 AJAX 또는 REST 호출(admin-ajax.php, /wp-json/*).
- 동일한 IP 또는 계정에서 높은 빈도로 객체 ID(예: id=1234, template_id=2345)를 포함한 반복 요청.
- 의심스러운 활동(대량 가입) 시점에 생성된 새로운 구독자 계정.
- 일반적으로 편집자/관리자만 사용하는 엔드포인트에 대한 접근이 구독자에 의해 이루어짐.
- 비정상적인 다운로드 또는 첨부파일 또는 내보낸 템플릿의 검색.
이러한 패턴을 검색하기 위해 로깅 도구(서버 접근 로그, 애플리케이션 로그) 및 WP-Firewall 감사 기능을 사용합니다.
개발자 안내 — IDOR를 방지하기 위한 안전한 코딩
플러그인/테마 코드를 유지 관리하거나 기여하는 경우, 이러한 구체적인 안전 장치를 적용합니다:
- 항상 서버 측에서 권한 확인을 수행합니다.
- 클라이언트 측 가시성이나 역할 힌스에 의존하지 마십시오. WordPress 권한 기능을 사용하여 확인하십시오.
- 예제 (의사‑PHP):
$object_id = intval( $_REQUEST['id'] ); - 기존 WordPress 권한 검사를 사용하십시오.
- current_user_can( ‘edit_post’, $post_id ), current_user_can( ‘list_users’ ) 등은 임시 역할 검사보다 낫습니다.
- nonce를 사용하고 AJAX 작업에 대해 이를 확인하십시오.
- 처리하기 전에 check_ajax_referer() 또는 wp_verify_nonce()로 nonce를 확인하십시오.
- 모든 입력을 검증하고 정리합니다.
- ID를 정수로 변환하고, 문자열을 예상 패턴에 대해 검증하며, 길이를 제한하십시오.
- 클라이언트에 덤프될 수 있는 post_meta 또는 옵션 필드에 비밀을 저장하지 마십시오.
- API 표면적을 최소화하십시오.
- 필요하지 않은 한 민감한 객체를 반환하는 엔드포인트를 노출하지 마십시오. 이를 인증하고 권한을 확인하십시오.
- 최소 권한의 원칙
- 낮은 권한 역할에 대해 사용 가능한 엔드포인트는 절대 관리자 또는 다른 사용자의 개인 데이터를 반환해서는 안 됩니다.
- 로깅 및 속도 제한
- 의심스러운 접근을 기록하고 엔드포인트에 대해 합리적인 속도 제한을 시행하십시오.
WP‑Firewall이 귀하를 보호하는 방법 (책임감 있고 실용적인 방어)
WP‑Firewall에서는 WordPress 애플리케이션 방화벽 및 보안 서비스로 운영됩니다. 우리는 계층적이고 실용적인 방어 전략에 집중합니다:
- 가상 패치: 상위 플러그인 취약점이 공개되고 패치가 존재할 때 (또는 패치가 제공되기 전에도), WP‑Firewall은 애플리케이션 엣지에서 공격 패턴을 차단하는 타겟 가상 패치 규칙을 배포할 수 있습니다. 이는 공격 시도가 취약한 코드에 도달하는 것을 방지합니다.
- 행동 감지: WP‑Firewall은 의심스러운 AJAX / REST 요청을 모니터링하고 비정상적인 객체 접근 패턴을 플래그합니다 (예: 구독자가 반복적으로 다른 사용자의 객체 ID를 요청하는 경우).
- 역할 인식 강화: 특정 AJAX/REST 작업을 더 높은 역할로 제한하거나 낮은 권한 계정에 대해 추가 검증을 요구할 수 있습니다.
- nonce 및 referer 시행: 강력한 nonce 검사가 부족한 엔드포인트에 대해 WP‑Firewall은 유효한 nonce를 요구하거나 추가 방어 계층으로 referer 헤더를 시행할 수 있습니다.
- 속도 제한 및 평판 차단: 대량 가입, 자격 증명 채우기 및 계정당 고주파 요청을 차단하거나 제한하십시오.
- 감사 로깅 및 경고: 실시간 경고 및 로그는 관리자가 의심스러운 대량 읽기/ID 열거 시도를 조기에 감지하는 데 도움을 줍니다.
- 관리형 계획을 위한 자동 완화 옵션: 여기에는 특정 취약점 공개와 관련된 IOC(침해 지표)의 가상 패치 및 자동 차단이 포함됩니다.
Fusion Builder를 즉시 업데이트할 수 없는 경우, WP-Firewall은 업데이트할 수 있을 때까지 이 취약점을 완화하기 위해 가상 패치 규칙을 적용할 수 있습니다.
제안된 가상 패치 / WAF 서명 아이디어 (방어자를 위한)
아래는 WAF 또는 애플리케이션 방화벽으로 구현할 수 있는 개념적 서명 및 규칙 패턴입니다. 이는 의도적으로 높은 수준으로 설정되어 있으므로 잘못된 긍정을 피하기 위해 환경에 맞게 조정하십시오.
- 능력 확인 없이 임의의 템플릿을 읽으려는 AJAX 작업을 차단하거나 도전하십시오:
- 패턴: builder 템플릿 검색 작업과 일치하는 action 매개변수를 가진 admin-ajax.php에 POST 요청 및 id 매개변수의 존재.
- 작업: 요청에 유효한 nonce가 포함되어 있고 서버 측 검증이 통과하지 않는 한, Subscriber 역할의 요청에 대해 403을 반환합니다 (또는 captcha/도전 과제를 부과).
- 열거 패턴의 비율 제한:
- 동일한 계정 또는 IP에서 id 값을 증가시키거나 짧은 시간 내에 여러 다른 객체 ID를 요청하는 요청 시퀀스를 감지합니다.
- 임계값을 초과하는 경우 스로틀링 또는 차단합니다.
- 신뢰할 수 없는 출처에서 admin JSON 엔드포인트에 접근하는 요청을 감지합니다:
- 요청이 비정상적인 참조자 또는 외부 사이트에서 오는 경우 차단합니다.
- 비특권 사용자를 위한 빌더 내보내기 또는 템플릿 다운로드 엔드포인트에 대한 직접 접근을 방지합니다:
- 요청자의 역할이 Editor보다 낮고 엔드포인트가 구성된 임계값보다 무거운 콘텐츠를 반환하는 경우 요청을 거부합니다.
- 스캔/자동화에 대한 서명:
- 짧은 시간 내에 동일한 작업과 다른 id로 반복되는 대량의 AJAX 호출을 차단합니다.
주의: WAF는 서버 상태(소유권)에 의존하는 완벽한 권한 확인을 수행할 수 없습니다. 가상 패치는 잘못된 긍정을 줄이기 위해 보수적이어야 합니다. 가능하면 결합된 확인(nonce + 역할 + 비율 제한)을 적용하십시오.
귀하의 사이트가 이제 보호되고 있는지 테스트하는 방법
- 플러그인을 3.15.2로 업데이트한 후 기능을 테스트하십시오:
- 문제의 엔드포인트가 적절한 역할에 의해 승인될 때만 객체를 반환하는지 확인하십시오.
- WP‑Firewall 가상 패치를 사용하는 경우:
- 스테이징에서 구독자 테스트 계정으로 동일한 읽기 시나리오를 시도하십시오. 소유자 간 접근에 대해 403/차단 응답을 예상하십시오.
- 로그 모니터링:
- 방화벽이 차단된 시도를 기록하고 관리자를 경고하는지 확인하십시오.
- 완화 후 거부된 요청에 대한 실시간 트래픽을 검토하여 합법적인 사용자가 잘못 차단되지 않았는지 확인하십시오.
사이트가 손상된 경우 — 복구 단계
- 분리하다:
- 사이트를 유지 관리 모드로 설정하고 악성 IP를 차단하십시오.
- 백업:
- 포렌식을 위해 새 파일 및 데이터베이스 스냅샷을 가져오십시오.
- 정리:
- 가능하다면 손상 이전의 깨끗한 백업에서 복원하십시오. 그렇지 않은 경우 신뢰할 수 있는 스캐너와 정리 프로세스를 사용하십시오.
- 자격 증명 회전:
- 관리자 및 기타 권한이 있는 사용자 비밀번호를 재설정하고 사이트에서 사용되는 API 키와 토큰을 교체하십시오.
- 비밀을 재구성하십시오:
- 플러그인 설정이나 테마 옵션에 저장된 모든 서드파티 자격 증명을 교체하십시오.
- 로그 및 범위를 검토하십시오:
- 무엇이 접근되었거나 유출되었는지 확인하십시오. 사용자 이메일이나 PII가 노출된 경우 법률/정책에 따라 영향을 받는 당사자에게 알리십시오.
- 수정 후:
- 모든 플러그인과 테마를 최신 버전으로 업데이트하십시오.
- 사이트를 강화하십시오 (WAF 규칙, 속도 제한, 관리자 사용자에 대한 이중 인증).
- 손상이 표적화된 것으로 보이는 경우 포렌식 검토를 고려하십시오.
정리 또는 포렌식 분석에 도움이 필요하면 보안 전문가를 고용하십시오. WP‑Firewall은 적절한 계획을 가진 고객을 위한 관리 서비스 및 정리 지원을 제공합니다.
장기적인 강화 모범 사례
- 최소 권한: 사용자에게 필요한 최소한의 권한을 부여하십시오. 커뮤니티나 회원이 많은 사용자를 요구하는 경우 “구독자”가 플러그인 기능에 접근할 수 없도록 역할 사용자 정의를 고려하십시오.
- 보안 코딩: 사용자 정의 엔드포인트를 구축할 때는 항상 권한 확인 및 소유권 확인을 통해 객체 접근을 검증하십시오.
- 논스 및 출처 확인: AJAX 및 REST 엔드포인트를 논스 및 출처 검증으로 보호하십시오.
- 안전한 자동 패치: 플러그인을 최신 상태로 유지하십시오. 대규모 환경에서는 단계적 자동 업데이트를 사용하거나 스테이징/테스트와 조정하십시오.
- 모니터링 및 경고: 로깅, 침입 경고 및 무결성 검사를 설정하십시오.
- 백업 및 테스트 복원: 정기적으로 백업 및 복원 절차를 테스트하십시오.
- 서드파티 플러그인 및 테마 검토: 사용하지 않거나 유지 관리되지 않는 구성 요소를 제거하여 공격 표면을 줄이십시오.
자주 묻는 질문(FAQ)
Q: 내 사이트는 사용자 등록을 허용하지 않는데 — 여전히 위험에 처해 있나요?
A: 구독자 등록을 허용하지 않고 사용자 프로비저닝 프로세스가 엄격하다면 위험은 낮습니다. 그러나 공격자는 때때로 대체 경로를 통해 계정을 생성하거나 다른 플러그인을 악용할 방법을 찾을 수 있습니다. 그래도 플러그인을 업데이트하는 것이 좋습니다.
Q: 플러그인이 설치되어 있지만 Fusion Builder 기능을 사용하지 않는데 — 여전히 업데이트해야 하나요?
A: 네. 사용하지 않는 플러그인 코드도 접근 가능하고 악용될 수 있습니다. 전혀 사용하지 않는다면 플러그인을 비활성화하고 완전히 제거하는 것을 고려하십시오.
Q: 얼마나 빨리 패치해야 하나요?
A: 패치는 가능한 한 빨리 수행해야 합니다. 이상적으로는 인터넷에 노출된 사이트의 경우 24-72시간 이내에 수행해야 합니다. 많은 사이트를 관리하는 경우 먼저 스테이징에 배포하고 빠른 업데이트 일정을 조정하십시오.
Q: 가상 패치를 적용하면 내 사이트가 망가질까요?
A: 적절하게 작성된 가상 패치 규칙은 보수적이며 악용 패턴만 차단하는 것을 목표로 합니다. 그러나 모든 차단 규칙은 잘못된 긍정 결과를 생성할 수 있습니다. 전체 시행 전에 스테이징에서 규칙을 테스트하거나 모니터링 모드를 사용하십시오.
권장 단계별 체크리스트
- 플러그인 버전을 확인하십시오. 만약 <= 3.15.1 — 업데이트 일정을 잡으십시오.
- Fusion Builder를 3.15.2 이상으로 업데이트하십시오 (먼저 스테이징에서 테스트).
- 즉각적인 업데이트가 불가능한 경우:
- 이 CVE 서명을 위해 WP-Firewall 가상 패칭을 활성화하십시오.
- 사용자 등록을 일시적으로 비활성화하거나 관리자 승인을 요구하십시오.
- AJAX/REST 작업에 대한 속도 제한.
- 의심스러운 계정을 위해 구독자 및 최근 가입자를 감사합니다.
- 공개 날짜 주변의 비정상적인 admin‑ajax.php 또는 REST 호출에 대한 로그 검색.
- 플러그인 옵션에 저장될 수 있는 자격 증명을 회전합니다.
- 사이트 기능을 재테스트하고 차단된 시도를 모니터링합니다.
- 사건과 배운 교훈을 문서화하십시오.
WP‑Firewall이 고객을 어떻게 돌보는지
우리는 공개된 모든 취약점을 사이트를 신뢰할 수 있고 책임감 있게 보호할 기회로 간주합니다. CVE‑2026‑1541과 같은 취약점에 대해 다음 운영 플레이북을 구현합니다:
- 즉각적인 분석 및 위험 분류.
- 즉시 업데이트할 수 없는 사이트를 보호하기 위해 보수적인 가상 패치 규칙을 개발하고 배포합니다.
- 관리자에게 맥락 정보 및 수정 단계와 함께 알립니다.
- 활성 침해가 감지되면 지원 및 관리된 정리 지원을 제공합니다.
- 사이트 소유자가 공격 표면을 줄이고 장기적으로 운영을 강화할 수 있도록 모범 사례를 공유합니다.
우리의 목표는 노출 창을 줄이고 사이트 소유자가 가동 시간이나 기능을 희생하지 않고 패치 및 변경 사항을 검증할 수 있는 여유를 주는 것입니다.
사이트를 즉시 안전하게 보호하세요 — WP‑Firewall 무료 플랜으로 시작하세요.
웹사이트 보호는 복잡하거나 비쌀 필요가 없습니다. WP‑Firewall 기본(무료) 플랜은 즉시 필수 보호를 제공합니다:
- 무제한 대역폭을 갖춘 관리형 방화벽
- 웹 애플리케이션 방화벽(WAF) 규칙
- 악성코드 스캐너 및 탐지
- OWASP 상위 10대 위험에 대한 완화책
더 많은 자동화된 수정 및 고급 보호가 필요하다면, 우리의 표준 및 프로 계층은 기본 플랜을 기반으로 자동 악성 코드 제거, IP 화이트리스트/블랙리스트, 월간 보안 보고서, 자동 가상 패칭 및 관리 보안 서비스를 제공합니다.
무료 플랜을 탐색하고 사이트를 빠르게 안전하게 보호하세요: https://my.wp-firewall.com/buy/wp-firewall-free-plan/
(여러 사이트를 관리하거나 활성 가상 패칭 및 사고 대응이 필요한 경우, 우리의 유료 플랜은 귀하의 필요에 맞게 확장되도록 설계되었습니다.)
마무리 생각
“낮은 심각도” 취약점조차도 공격자에게 유용한 정찰이 될 수 있습니다. Fusion Builder (Avada) IDOR (CVE‑2026‑1541)는 적시의 알림입니다: 권한 검사 및 입력 유효성 검사는 안전한 WordPress 개발의 기본 빌딩 블록이며, 심층 방어는 사이트 운영자에게 중요합니다.
오늘 모든 사이트 소유자를 위한 실행 항목:
- Fusion Builder를 3.15.2 이상으로 업데이트하세요.
- 즉시 업데이트할 수 없다면, WAF/가상 패치를 적용하고, 등록을 제한하며, 로그를 모니터링하세요.
- 노출 시간을 줄이기 위해 WP‑Firewall과 같은 다층 방어를 활용하세요.
가상 패치 적용, 최소한의 오탐을 위한 WAF 규칙 조정 또는 감사 수행에 대한 지원이 필요하다면, 저희 보안 팀이 도와드릴 준비가 되어 있습니다.
안전히 계세요,
WP‑Firewall 보안 팀
참고 자료 및 리소스
- 공급업체 패치: Fusion Builder를 3.15.2 이상으로 업데이트하세요(공식 플러그인/테마 업데이트 채널을 따르세요).
- CVE: CVE‑2026‑1541
(개발 팀을 위해: 이 게시물을 참조하여 안전한 코딩 모범 사례를 확인하고, 객체 데이터를 반환하는 엔드포인트에 대한 권한 확인을 위한 자동화된 테스트 구현을 고려하세요.)
