플러그인 이름	멋진 지원
취약점 유형	손상된 인증
CVE 번호	1. CVE-2026-4654
긴급	중간
CVE 게시 날짜	2026-04-08
소스 URL	1. CVE-2026-4654

2. WordPress 사이트에 대한 중요 공지: Awesome Support <= 6.3.7 — 인증된 구독자 IDOR (CVE-2026-4654)

3. 2026년 4월 8일, 보안 연구원이 Awesome Support WordPress 플러그인에서 6.3.7 버전까지 영향을 미치는 인증 실패 / 불안전한 직접 객체 참조 (IDOR) 취약점을 공개했습니다. 이 취약점은 CVE-2026-4654로 추적되며 Patchstack에서 중간 심각도로 분류되었습니다 (CVSS 5.3). 이는 구독자 역할의 인증된 계정이 티켓 소유권을 조작하여 자신이 소유하지 않은 티켓에 접근하거나 답변을 게시할 수 있게 합니다. 4. ticket_id 매개변수.

5. 이 권고문은 WP-Firewall 보안 팀에 의해 발행되어 WordPress 사이트 소유자, 개발자 및 호스팅 제공자에게 문제의 본질, 실제 위험 및 노출을 줄이고 영향을 받았을 경우 복구하기 위해 지금 취해야 할 정확한 단계에 대한 명확하고 실용적인 지침을 제공합니다.

중요한 간단 요약

• 6. 영향을 받는 소프트웨어: WordPress용 Awesome Support 플러그인, 버전 <= 6.3.7
• 7. 패치된 버전: 6.3.8
• 8. CVE: CVE-2026-4654
• 9. 필요한 권한: 인증된 구독자 (낮은 권한)
• 10. 유형: 인증 실패 / 불안전한 직접 객체 참조 (IDOR)
• 11. 위험 수준: 중간 (CVSS 5.3) — 그러나 많은 사이트가 구독자 계정을 허용하고 많은 사이트 관리자가 지원 티켓 엔드포인트를 면밀히 모니터링하지 않기 때문에 광범위하게 악용될 수 있습니다.

12. 기술적 맥락, 즉시 적용해야 할 정확한 완화 조치, 모니터링 및 WAF 지침, 권장 사고 대응 단계를 읽어보세요.

---

13. 이 취약점은 무엇인가요 (고수준)?

14. Awesome Support 플러그인은 지원 티켓에 대한 답변을 제출하는 기능을 노출합니다. 이 구현은 인증된 사용자 (구독자 역할 이상)가 매개변수를 제출하여 티켓 답변을 제출하거나 접근할 수 있도록 합니다. 4. ticket_id 15. 매개변수. 플러그인이 인증된 사용자가 참조된 티켓을 소유하거나 해당 티켓에 대해 행동할 권한이 있는지를 적절히 검증하지 않았기 때문에, 구독자는 임의의 티켓 식별자를 지정하고 자신이 소유하지 않은 티켓에 대한 답변을 게시하거나 데이터를 접근할 수 있습니다. 4. ticket_id, 16. 이는 전형적인 불안전한 직접 객체 참조 (IDOR)입니다 — 요청 당사자의 권한을 검증하지 않고 객체 식별자를 수용하는 인증/권한 부여 흐름의 실패입니다. 이 악용은 인증된 계정을 요구하지만, 구독자 수준의 계정은 많은 WordPress 사이트에서 일반적이기 때문에 (예: 사용자 등록, 고객 및 지원 포털) 대규모 악용 가능성이 증가합니다.

17. 이 취약점이 WordPress의 관리 제어를 직접적으로 부여하지는 않지만, 여러 실용적인 이유로 위험합니다:.

---

이것이 중요한 이유 — 실제 세계의 영향

18. 낮은 진입 장벽:

• 19. 구독자 역할을 가진 모든 사용자 (또는 구독자에 매핑된 사이트 계정)가 이를 악용할 수 있습니다. 많은 사이트가 구독자 수준의 접근을 초래하는 등록을 허용합니다. 구독자 역할(또는 구독자에 매핑된 사이트 계정)을 가진 모든 사용자가 이를 남용할 수 있습니다. 많은 사이트에서 구독자 수준의 액세스를 허용하는 등록을 허용합니다.
• 데이터 유출 및 신뢰 상승: 공격자는 실제 고객 또는 사이트 직원의 티켓에 대한 답변을 읽거나 주입할 수 있어, 민감한 정보의 공개, 사회 공학, 또는 평판 손상을 초래할 수 있습니다.
• 피싱 및 사회 공학: 공격자는 기존 티켓 스레드 내에서 답변을 하여 지원 직원이나 고객을 속여 자격 증명을 넘기게 하거나, 악성 링크를 클릭하게 하거나, 추가적인 발판을 얻기 위해 지원 흐름을 재개하도록 유도할 수 있습니다.
• 후속 공격을 위한 발자국: 악의적인 답변에는 자격 증명 도용으로 이어지거나 권한 상승을 가능하게 하는 행동으로 유도하는 링크나 지침이 포함될 수 있습니다(예: 사용자가 콘텐츠를 업로드하거나 설정을 변경하도록 설득).
• 자동화 가능성: ticket_id가 간단한 매개변수이기 때문에, 자동화된 대량 스캐닝 도구는 여러 사이트에서 악용 가능한 대상을 찾기 위해 티켓 ID를 열거할 수 있어, 악용 규모가 증가합니다.

직접적인 결과가 티켓 시스템에 한정되더라도, 하류 효과는 심각할 수 있습니다(신뢰 상실, 사기성 환불, 고객 데이터 노출). 영향을 받는 모든 사이트에 대해 이를 고우선 순위 수정 사항으로 처리하십시오.

---

누가 영향을 받나요?

• Awesome Support 플러그인 버전 6.3.7 또는 이전 버전을 사용하는 모든 WordPress 사이트.
• 최소한 구독자 수준의 인증된 사용자를 허용하는 사이트(이 악용의 요구 사항).
• 민감한 데이터를 전달하기 위해 지원 티켓 콘텐츠나 워크플로우에 의존하는 조직(예: 주문 정보, 이메일 주소, 청구 세부정보).

어떤 버전을 실행 중인지 확실하지 않은 경우, WordPress 관리자 플러그인 목록이나 사이트의 composer/wp-content/plugins 디렉토리를 확인하십시오.

---

공개 및 귀속

이 문제는 2026년 4월에 공개되었으며 CVE-2026-4654로 지정되었습니다. 발견에 대한 크레딧은 문제를 책임감 있게 보고한 연구원 Michael Iden (Mickhat)에게 귀속됩니다. 플러그인 저자는 문제를 해결하기 위해 패치된 버전 6.3.8을 출시했습니다.

---

즉각적인 조치(모든 사이트 소유자/운영자용)

귀하의 사이트가 Awesome Support를 사용하는 경우, 즉시 다음 단계를 따르십시오:

1. 플러그인을 6.3.8 이상으로 업데이트하십시오(권장).
   • 이것이 가장 중요한 단계입니다. 개발자는 적절한 권한 확인을 추가하고 불안전한 참조를 수정하는 패치를 출시했습니다.
2. 즉시 업데이트할 수 없는 경우:
   • 플러그인을 일시적으로 비활성화하거나,
   • 비활성화가 불가능한 경우, 플러그인 엔드포인트에 대한 접근을 제한하십시오(아래 WAF 및 서버 수준 완화 조치를 참조).
3. 사용자 역할 감사:
   • 귀하의 사이트가 신뢰할 수 없는 사용자가 구독자로 등록하는 것을 허용하는지 검토하십시오. 등록을 강화할 수 있다면(예: 수동 승인), 그렇게 하십시오.
4. 1. 모니터링 및 검토:
   • 2. 비정상적인 티켓 응답, 알 수 없는 IP 또는 비정상적인 저자 패턴에 대한 최근 티켓 활동 및 로그를 검사합니다.
   • 3. POST 요청이 포함된 웹 서버 로그를 확인합니다. 4. ticket_id 4. 비정상적인 시간에 구독자 계정에서 발생하는 매개변수.
5. 5. 기본 보안 강화 적용:
   • 6. 의심스러운 활동을 감지하면 관리자 계정에 대해 강력한 비밀번호를 적용하고 자격 증명을 교체합니다.
   • 7. 관리 사용자에 대해 이중 인증(2FA)을 활성화합니다.

8. 6.3.8로 업데이트하면 직접적인 취약점이 해결됩니다. 호환성 또는 비즈니스 제약으로 인해 업데이트할 수 없는 경우 아래의 임시 완화 조치를 적용하십시오.

---

9. 임시 완화 조치 및 WAF 지침

10. 취약점이 티켓 응답 요청에 사용되는 조작 가능한 4. ticket_id 11. 매개변수에 의존하기 때문에, 업데이트를 준비하는 동안 목표 웹 애플리케이션 방화벽(WAF) 및 서버 제어를 통해 위험을 줄일 수 있습니다.

중요 참고 사항: 12. 애플리케이션 논리가 객체 소유권을 확인해야 하는 경우 일부 IDOR 문제는 외부 WAF로 완전히 완화할 수 없습니다. WAF는 공격량을 줄이고 일반적인 자동 남용을 중지하는 데 도움이 되지만 애플리케이션 수정을 대체하지는 않습니다. 이러한 조치는 방어적 성격으로 고려하십시오.

13. 제안된 WAF / 서버 규칙(고급, 코드 악용 아님):

• 14. 접근이 필요 없는 계정에서 티켓 게시에 사용되는 엔드포인트에 대한 요청을 차단하거나 도전합니다:
  • 15. 예: 세션 사용자 ID가 티켓 소유자와 일치하지 않는 한 플러그인의 티켓 응답 엔드포인트에 대한 POST 요청을 차단합니다(세션 인식이 있는 경우 WAF).
• 16. 동일한 IP 또는 계정에서 POST 요청의 비율을 제한합니다: 4. ticket_id 17. 보수적인 임계값을 설정합니다(예: 분당 5회 시도) 및 429 또는 CAPTCHA 도전 응답을 반환합니다.
  • 18. 비정상적인 요청을 감지합니다.
• 19. 티켓 ID가 숫자만 포함된 경우, 요청을 플래그하거나 차단합니다. 4. ticket_id 값:
  • 티켓 ID가 숫자만 포함된 경우, 요청을 플래그 지정하거나 차단합니다. 4. ticket_id 예상 범위를 벗어나거나 명백하게 추측할 수 있는 경우 나타납니다.
• 포함된 요청을 도전하거나 차단합니다. 4. ticket_id 그리고 세션이 해당 티켓과 상호작용한 이전 기록이 없는 구독자 역할의 계정에서 오는 경우.
• 티켓 엔드포인트에 대해 엄격한 참조자 및 출처 검사를 시행합니다:
  • 인증된 사이트 페이지에서 오는 요청만 수락하고 교차 사이트 출처에서 오는 요청은 수락하지 않습니다.
• 티켓 응답 양식에서 유효한 논스를 요구하고 논스 없이 POST를 거부합니다.
• 남용이 집중된 경우 알려진 악용 IP 및 지리적 위치를 블랙리스트에 추가합니다.

WAF가 가상 패칭 서명을 지원하는 경우, 보안 팀과 협력하여 다음 조합을 찾는 규칙을 구현합니다:

• 플러그인의 티켓 응답 흐름에서 사용되는 엔드포인트 경로,
• 존재 4. ticket_id POST 또는 GET의 매개변수,
• 구독자 수준의 계정 컨텍스트(사용 가능한 경우) 또는 비정상적인 ticket_id 참조 순서.

합법적인 지원 흐름을 중단시키는 잘못된 긍정 결과를 피하기 위해 규칙을 작성할 때 보수적으로 접근합니다.

---

개발자 수준의 수정(플러그인을 수정하는 방법)

플러그인 개발자(또는 사용자 정의 통합을 유지하는 경우)에게 올바른 수정은 모든 접근 및 작업에 대한 권한 검사를 시행하는 것입니다. 주요 요소:

1. 객체 소유권을 확인합니다:
   • 참조하는 요청을 처리할 때 4. ticket_id, 서버 측에서 티켓 기록을 가져오고 현재 사용자가 티켓 소유자이거나 명시적인 권한(예: 에이전트 역할)을 가지고 있는지 확인합니다.
   • 소유권 검사를 위해 클라이언트 측 데이터나 숨겨진 양식 필드에 의존하지 마십시오.
2. 권한 확인을 사용하십시오:
   • 다음과 같은 기능 검사를 구현합니다 현재_사용자_가능() 또는 지원 직원 역할에 매핑된 사용자 정의 기능 검사를 구현합니다.
   • 고객 대면 엔드포인트와 직원 대면 엔드포인트를 구분하십시오.
3. 논스와 CSRF 보호를 사용하십시오:
   • 양식에서 유효한 WordPress 논스를 요구하고 유효한 논스 검증이 없는 요청을 거부하십시오.
4. 안전하지 않은 열거를 피하십시오:
   • 존재 여부를 드러내지 마십시오 4. ticket_id 인증되지 않거나 권한이 없는 사용자에게 응답 메시지에서.
5. 매개변수를 정리하고 검증하십시오:
   • 보장하다 4. ticket_id 예상되는 유형과 범위로 검증되며, DB 쿼리에 대해 준비된 문을 사용하십시오.
6. 반환되는 데이터를 제한하십시오:
   • 권한이 있는 사용자 또는 직원에게 엄격히 필요한 데이터만 반환하십시오. 권한이 없는 경우 민감한 필드를 마스킹하십시오.
7. 로깅 및 감사:
   • 사용자 ID 및 IP와 함께 민감한 작업을 기록하십시오; 관리자가 최근 티켓 수정 및 응답을 검토할 수 있는 방법을 제공하십시오.

이는 표준 보안 개발 관행이지만 개인 고객 통신을 다루는 플러그인에 특히 중요합니다.

---

탐지 및 모니터링 — 무엇을 찾아야 하는가

Awesome Support를 운영하는 경우 다음을 모니터링하십시오:

• 티켓 소유자가 아닌 사용자가 작성한 예상치 못한 티켓 응답 또는 최근에 생성된 계정.
• 티켓 엔드포인트에 대한 POST 요청의 급증 4. ticket_id 매개변수, 특히 새로 등록된 사용자 또는 동일한 IP 범위에서.
• 순차적인 4. ticket_id 값으로 반복 제출 시도 — 열거 시도의 징후.
• 원격 링크, 첨부 파일 또는 민감한 정보 요청을 포함하는 티켓 응답 내용.
• 사용자가 등록하거나 로그인한 직후 플러그인 엔드포인트에 대한 많은 요청을 보여주는 웹 서버 로그.
• 기존 티켓에서 비정상적인 메시지를 받았다는 고객 불만 사항.

비정상적인 패턴에 대한 경고를 설정하고 조사를 용이하게 하기 위해 로그를 최소 30일 동안 보존하도록 합니다.

---

자신이 악용당했다고 의심되는 경우 — 사고 대응 단계

검토 또는 모니터링이 악용을 나타내면 신속하게 조치하십시오:

1. 분리하다:
   • 공개 티켓 제출을 일시적으로 비활성화하거나 티켓 시스템을 읽기 전용으로 설정합니다.
   • 필요시 Awesome Support 플러그인을 비활성화합니다.
2. 증거 보존:
   • 애플리케이션 로그, 웹 서버 로그 및 데이터베이스 백업을 수집합니다. 로그를 덮어쓰지 마십시오.
3. 자격 증명 회전:
   • 티켓 대화에 관련된 사용자와 모든 관리 계정에 대해 비밀번호 재설정을 강제합니다.
4. 범위를 확인하십시오:
   • 어떤 티켓이 조회되거나 수정되었는지 확인합니다. 추가 손상을 나타낼 수 있는 후속 활동(새 관리자 사용자, 변경된 플러그인 또는 수정된 테마 파일)을 찾습니다.
5. 백도어를 검색하십시오:
   • 사이트 파일 시스템 및 데이터베이스에 대해 철저한 악성 코드 검사를 실행합니다.
6. 악성 응답 제거:
   • 주입된 응답이나 첨부 파일을 제거하거나 정리합니다.
7. 필요한 경우 복원:
   • 악성 코드나 무단 변경이 있는 경우, 초기 악용 이전에 생성된 깨끗한 백업에서 복원하는 것을 고려합니다.
8. 영향을 받는 당사자에게 알립니다:
   • 고객 데이터가 노출되었거나 응답한 메시지가 악성인 경우, 영향을 받은 사용자에게 알리고 수정 지침을 제공합니다.
9. 패치를 적용합니다:
   • 사이트를 완전 서비스로 복귀하기 전에 Awesome Support를 6.3.8 이상으로 업데이트합니다.
10. 사고 후 강화:
    • 재시도를 감지하기 위해 WAF 규칙, 더 엄격한 사용자 등록 제어 및 모니터링을 구현합니다.

수행한 모든 단계를 문서화하고 감사 및 잠재적 공개 의무를 위한 타임라인을 보존합니다.

---

호스트 및 에이전시 안내

호스트이거나 관리 사이트에 대한 책임이 있는 경우, 다음을 우선시하십시오:

• 인벤토리: 취약한 플러그인 버전을 실행 중인 고객 사이트를 식별합니다.
• 강제 업데이트: 가능한 경우 대량 업데이트를 조정하거나 고객에게 긴급히 알립니다.
• 임시 보호: 고객이 업데이트하는 동안 티켓 관련 남용을 차단하기 위해 호스트 수준의 WAF 또는 서버 규칙을 사용합니다.
• 지원 제공: 고객이 피해를 입었다면 사고 대응 지원을 제공하거나 추천합니다.
• 고객 교육: 고객에게 최근 티켓 활동을 감사하고 필요시 자격 증명을 교체하도록 조언합니다.
• 격리 정책: 사이트가 침해된 것으로 확인되면, 다른 고객으로부터 격리하여 측면 이동을 방지합니다.

중앙에서 규칙을 배포할 수 있는 호스트는 고객이 공식 패치를 적용할 때까지 의심스러운 티켓 엔드포인트 활동을 차단하거나 제한하는 표적 완화 조치를 적용해야 합니다.

---

샘플 탐지 규칙 휴리스틱 (개념적)

아래는 모니터링 또는 WAF 솔루션으로 변환할 수 있는 개념적 휴리스틱입니다. 오용을 피하기 위해 의도적으로 실행 불가능합니다.

• 휴리스틱 1 — 열거 탐지:
  • 단일 IP(또는 소규모 집합)가 짧은 시간 내에 4. ticket_id 값이 순차적으로 증가하는 POST를 요청할 때 트리거됩니다 (예: id=1001, 1002, 1003).
• 휴리스틱 2 — 비소유자 응답:
  • 해당 티켓과 상호작용한 적이 없는 사용자로부터 티켓 응답 엔드포인트에 POST가 나타나고 요청이 알려진 에이전트 IP 또는 역할에서 오지 않을 때 트리거됩니다.
• 휴리스틱 3 — 빠른 볼륨:
  • 단일 신규 계정에서 한 시간 내에 티켓 응답 POST 수가 작은 임계값을 초과할 때 트리거됩니다.
• 휴리스틱 4 — 의심스러운 콘텐츠:
  • 외부 URL, 자격 증명 요청 또는 등록 연령이 24시간 미만인 고객이 게시한 이진 첨부 파일을 포함하는 응답에 플래그를 지정합니다.

항상 탐지와 허위 긍정을 균형 있게 조정하십시오.

---

장기적인 예방 및 모범 사례

특정 취약점을 넘어 공격 표면을 줄이고 자세를 강화하려면:

• 최소 권한의 원칙:
  • 사용자 역할에 필요한 기능만 부여하십시오. 가능할 경우 구독자 기능을 제한하십시오.
• 사용자 등록을 강화하십시오:
  • 이메일 확인, 수동 승인 또는 자동 구독자 생성을 제한하십시오.
• 정기 업데이트:
  • 플러그인, 테마 및 WordPress 코어를 업데이트하십시오. 보안 패치를 우선시하십시오.
• 모니터링 및 알림:
  • 애플리케이션 및 서버 수준에서 비정상적인 활동에 대한 지속적인 모니터링을 구현하십시오.
• 백업 전략:
  • 정기적이고 테스트된 백업을 오프사이트에 보관하십시오.
• 플러그인 선택 및 검토:
  • 보안 책임이 있는 플러그인과 적시 업데이트가 이루어지는 플러그인을 선호하십시오. 주기적으로 플러그인 접근 및 목적을 검토하십시오.
• 보안 테스트:
  • QA 및 보안 검토 프로세스에 애플리케이션 권한 테스트를 포함하십시오.

---

왜 이 결함 유형이 계속 발생하는지 (우리 엔지니어의 통찰)

권한 부여 로직은 인증보다 정확하게 구현하기 어렵고 플러그인 개발에서 종종 간과됩니다. 일반적인 함정은 다음과 같습니다:

• 서버 측 소유권 확인 없이 클라이언트가 전송한 값(ID)에 의존.
• 인증이 권한 부여를 의미한다고 가정.
• 부정적인 권한 부여 사례에 대한 자동화된 테스트가 누락되거나 불충분함 (예: “사용자 A는 객체 B에 접근할 수 없음”).
• 보안 검사를 넘어 기능을 우선시하는 빠른 기능 개발.

개발 팀에 대한 우리의 권장 사항: 권한 부여를 1급으로 취급하십시오. 권한이 없는 사용자가 접근하거나 수정할 수 없는 객체에 대한 단위 및 통합 테스트를 추가하십시오.

---

WP-Firewall이 도움이 되는 방법

WP-Firewall에서는 관리형 웹 애플리케이션 방화벽, 봇 보호, 악성 코드 스캔 및 지속적인 모니터링을 제공하여 공식 플러그인 패치를 적용하는 동안 귀하의 사이트에서 이 취약점이 악용될 가능성을 줄입니다.

우리의 보호 조치는 다음과 같습니다:

• 워드프레스 플러그인 남용 패턴에 맞춘 관리형 WAF 규칙.
• 주입된 응답이나 의심스러운 수정을 찾을 수 있는 악성 코드 스캔.
• 자동화된 스캔 및 열거 시도를 줄이는 속도 제한 및 IP 평판 기능.
• 관리자가 비정상적인 티켓 활동을 신속하게 감지할 수 있도록 경고 및 로깅.

그러나 WAF는 방어적입니다 — 위험과 공격량을 줄이지만 공식 플러그인 수정을 적용할 필요성을 없애지는 않습니다. 항상 최종 수정으로 공급업체 패치를 적용하십시오.

---

개발자라면: 코드베이스를 검토하기 위한 빠른 체크리스트

• 객체 ID를 수락하는 모든 엔드포인트에 대해 현재 사용자가 해당 객체에 접근/수정할 수 있는 서버 측 권한을 확인하십시오.
• 워드프레스 논스를 사용하고 POST 요청에서 이를 검증하십시오.
• 인증되지 않거나 권한이 없는 사용자에게 객체 존재 메타데이터를 반환하지 마십시오.
• 통합 테스트에 부정적인 권한 테스트가 포함되도록 하십시오.
• 지원 관리 인터페이스에 접근할 수 있는 역할의 범위를 제한하십시오.
• 관련 메타데이터(사용자, IP, 시간)와 함께 안전하고 변조 방지 로그 저장소에 작업을 기록하십시오.

---

새 제목: WP-Firewall로 즉시 지원 채널을 안전하게 보호하세요 (무료 요금제)

사이트 보호는 기본적이고 신뢰할 수 있는 방어로 시작됩니다. WP-Firewall Basic (무료) 요금제에 가입하고 관리형 방화벽, 무제한 대역폭, 일반 플러그인 남용에 맞춘 WAF 규칙, 악성 코드 스캔 및 OWASP Top 10 위험 완화를 포함한 필수적이고 항상 켜져 있는 보호를 받으세요. 무료 요금제는 CVE-2026-4654와 같은 취약점이 사이트에서 대규모 악용으로 이어질 가능성을 줄이는 첫 번째 단계입니다. 무료 요금제를 탐색하고 여기에서 가입하세요: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

계획 하이라이트:

• 기본(무료): 관리형 방화벽, 무제한 대역폭, WAF, 악성 코드 스캐너, OWASP Top 10에 대한 완화.
• 표준($50/년): 자동화된 악성 코드 제거 및 IP 블랙리스트/화이트리스트 제어를 추가합니다.
• 프로($299/년): 월간 보안 보고서, 자동 가상 패치(해당되는 경우) 및 관리 서비스용 프리미엄 추가 기능을 추가합니다.

---

최종 메모 및 추천 링크

• 즉시 Awesome Support 6.3.8 이상으로 패치하십시오. 이것이 주요 수정입니다.
• 의심스러운 응답 및 알 수 없는 참가자를 위해 티켓 기록을 감사하십시오.
• 조사가 필요하다면 WordPress 보안 전문가나 호스팅 제공업체와 협력하는 것을 고려하세요.

참고: CVE-2026-4654 (공식 권고는 2026년 4월에 발표됨; 연구원: Michael Iden). 여러 사이트를 관리하는 경우, 이를 긴급하게 처리하세요: 악용에 필요한 권한이 낮고 자동화로 인해 대규모 남용이 발생할 가능성이 높습니다.

완화 조치를 적용하거나 WAF 서명을 배포하거나 사고 대응을 수행하는 데 도움이 필요하다면, WP-Firewall 보안 팀이 도와드릴 수 있습니다 — 패치를 적용하는 동안 빠르게 보호받을 수 있도록 무료 서비스도 포함되어 있습니다.

안전을 유지하고, 로그를 모니터링하며, 패치를 우선시하세요.

— WP-방화벽 보안팀