RTMKit 접근 제어 취약점 분석//2026-05-13에 발표//CVE-2026-3426

WP-방화벽 보안팀

RTMKit Vulnerability Image

플러그인 이름 RTMKit
취약점 유형 접근 제어 취약점
CVE 번호 CVE-2026-3426
긴급 낮은
CVE 게시 날짜 2026-05-13
소스 URL CVE-2026-3426

RTMKit (<= 2.0.2) 잘못된 접근 제어 (CVE-2026-3426): 워드프레스 사이트 소유자가 지금 해야 할 일

작가: WP‑Firewall 보안 팀
날짜: 2026-05-13

요약하자면

잘못된 접근 제어 취약점 (CVE-2026-3426)이 “RomeTheme for Elementor” 패키지에서 사용되는 워드프레스의 RTMKit 플러그인에서 공개되었습니다. 2.0.2 버전까지 포함하여 저자 수준의 접근 권한(및 그 이상)을 가진 사용자가 허용되지 않은 위젯 구성을 수정할 수 있습니다. 이 문제는 2.0.3 버전에서 패치되었습니다. 공격자가 저자 계정이 필요하기 때문에 위험도는 낮음(CVSS 4.3)으로 평가되지만, 여전히 조치가 필요하며 즉시 해결해야 합니다.

워드프레스 사이트를 관리하는 경우 즉시 RTMKit을 2.0.3 이상으로 업데이트하십시오. 즉시 업데이트할 수 없는 경우, 이 기사에 있는 완화 지침을 사용하여 위험을 줄이십시오 — 우리는 탐지, 방화벽 규칙, 강화 단계 및 사고 대응 체크리스트를 포함합니다.


배경 — 무슨 일이 있었나

취약점이 보고되었고 CVE‑2026‑3426이 할당되었습니다. 이는 전형적인 잘못된 접근 제어 문제입니다: 위젯 구성 기능을 노출하는 플러그인의 영역이 권한 검사를 제대로 시행하지 않았습니다. 간단히 말해, 플러그인은 인증된 저자 권한을 가진 사용자가 특정 작업만 수행할 수 있다고 신뢰했지만, 플러그인은 특정 작업(위젯 구성 편집)이 해당 역할에 허용되는지 여부를 확인하지 못했습니다.

왜 이것이 중요할까요? 많은 워드프레스 사이트에서 저자는 자신의 게시물을 생성하고 편집할 수 있지만, 사이트 전체 설정이나 위젯 구성을 변경해서는 안 됩니다. 저자 계정이 위젯 구성을 변경할 수 있다면, 저자 계정을 얻거나 등록한 공격자(또는 기존 저자를 타협한 공격자)는 사이드바나 위젯화된 영역에 악성 콘텐츠를 주입할 수 있습니다 — 종종 여러 페이지에서 볼 수 있어 피싱, 자격 증명 수집 또는 지속적인 JavaScript 주입을 촉진할 수 있습니다.

패치/완화 상태: RTMKit 2.0.3에서 패치됨. <= 2.0.2를 실행하는 사이트는 취약합니다.


영향을 받는 대상

  • 소프트웨어: RTMKit 플러그인 (Elementor용 테마/플러그인 번들 일부).
  • 취약한 버전: <= 2.0.2
  • 패치된 버전: 2.0.3
  • 악용을 위한 필요한 권한: 저자 (인증된)
  • 심각도: 낮음 (CVSS 4.3) — 악용하려면 익명 접근이 아닌 저자 접근이 필요하기 때문입니다.

비록 심각도가 낮지만, 이는 기회주의적 대규모 악용에 사용되는 바로 그런 종류의 취약점입니다: 공격자는 취약한 버전을 가진 사이트를 찾고, 저자 계정을 사용하려 하거나(등록이 열려 있는 경우 저자 계정을 생성하려 하거나) 변경을 시도할 것입니다.


실제 세계의 영향 — 걱정해야 할 시나리오

  • 타협된 저자 계정이 위젯 구성을 통해 악성 JavaScript를 주입하여 사이트 전체에 악성 리디렉션, 보이지 않는 키로거 또는 암호화폐 채굴 코드로 이어집니다.
  • 등록이 열려 있고 기본 역할이 저자로 설정된 사이트(또는 잘못 구성된 멤버십)는 새로운 사용자가 위젯을 수정할 수 있는 계정을 생성할 수 있게 합니다.
  • 공격자가 사회 공학을 사용하여 저자 자격 증명을 얻고(예: 피싱), 그런 다음 위젯을 수정하여 스팸, 광고 또는 백도어를 포함합니다.
  • 여러 기여자가 사용하는 사이트는 의도치 않게 저자에게 더 많은 권한을 부여하여 권한 남용을 가능하게 합니다.

저자는 즉시 WordPress를 완전히 제어할 수는 없지만(일반적으로 플러그인을 설치하거나 다른 사용자를 생성할 수 없음), 전역 위젯 콘텐츠를 변경할 수 있는 능력은 신뢰와 가시성에 치명적일 수 있으며, SEO 패널티 및 블랙리스트를 유발할 수 있습니다.


즉각적인 조치 — 무엇을 먼저 해야 할지 (0–24시간)

  1. 플러그인 업데이트
    • RTMKit이 설치되어 있다면 지금 2.0.3 버전 이상으로 업그레이드하세요. 이는 문제를 발생시키는 누락된 권한 확인을 제거합니다.
  2. 즉시 업데이트할 수 없는 경우
    • 업데이트할 수 있을 때까지 RTMKit 플러그인을 제거하거나 비활성화하세요.
    • 위젯을 노출하는 대시보드 영역에 대한 저자 수준 계정의 접근을 일시적으로 제한하세요(아래 완화 조치 참조).
  3. 무단 변경 사항 확인
    • 위젯 영역, 사이드바 콘텐츠 및 삽입되었을 수 있는 모든 사용자 정의 HTML 또는 JavaScript를 감사하세요.
    • 지난 30일 동안 저자에 의한 최근 변경 사항을 검토하세요.
  4. 자격 증명 회전
    • 저자 계정에서 의심스러운 활동을 감지하면 해당 계정과 손상될 수 있는 다른 계정의 비밀번호를 강제로 재설정하세요.

업데이트는 가장 효과적인 조치입니다. 호환성 또는 테스트 이유로 업데이트를 수행할 수 없는 경우, 업데이트할 수 있을 때까지 사이트를 제한된 유지 관리 모드로 설정하세요(또는 플러그인을 비활성화하세요).


탐지 — 이 취약점이 악용되었을 수 있는 징후

다음 지표를 찾으십시오:

  • 위젯의 예상치 못한 HTML/JS: 모든 텍스트/HTML 위젯, 사용자 정의 HTML 또는 임의의 마크업을 포함할 수 있는 위젯에서 낯선 스크립트나 iframe 삽입을 확인하세요.
  • 저자 계정에 의한 최근 위젯 편집: 저자 역할을 가진 사용자로부터 발생한 위젯 변경을 보여주는 감사 로그.
  • 새로 생성되거나 변경된 사용자 계정: 의심스러운 위젯 편집과 같은 시기에 생성된 새로운 저자 계정을 확인하세요.
  • 비정상적인 아웃바운드 연결: 호스팅 또는 사이트 모니터링에서 사이트에 의해 시작된 아웃바운드 연결(예: 낯선 도메인에 대한 호출)이 표시되면, 이는 위젯에 악성 페이로드가 있을 수 있음을 나타낼 수 있습니다.
  • 검색 엔진 경고 / 브라우저 악성 소프트웨어 경고: 검색 엔진이나 브라우저가 귀하의 사이트를 표시하면, 이는 위젯에 삽입된 콘텐츠의 결과일 수 있습니다.

사이트 활동 로그(활동 로그 플러그인, 서버 로그 또는 WAF의 로깅)를 유지하는 경우, 이러한 로그는 변경 사항에 사용된 시간대와 계정을 파악하는 데 도움이 됩니다.


웹 애플리케이션 방화벽(WAF) / WP-Firewall이 이를 완화할 수 있는 방법(패치 이전에도)

WAF는 패치하는 동안 임시 보상 제어를 제공할 수 있습니다. WP‑Firewall에서는 이 특정 유형의 잘못된 접근 제어 취약성에 대해 다음 규칙 세트를 권장합니다:

  1. 플러그인 특정 엔드포인트에 대한 의심스러운 요청 차단
    • RTMKit이 위젯 구성을 위한 AJAX 또는 REST 엔드포인트를 노출하는 경우, Admin이 아닌 역할에서 해당 엔드포인트로의 POST/PUT 요청을 차단하는 WAF 규칙을 생성합니다.
    • 예제 의사 코드 (논리 규칙):
      • 요청이 경로 패턴 “*/rtmkit/*”와 일치하고 메서드가 (POST, PUT, DELETE)이며 인증된 사용자 역할이 ‘author’인 경우 차단/로그합니다.
    • 정확한 엔드포인트는 플러그인 버전에 따라 다르므로, 플러그인과 관련된 알려진 AJAX 작업 또는 REST 네임스페이스 차단을 우선시합니다.
  2. WAF 계층에서 권한 확인을 시행합니다.
    • 위젯 구성 변경을 나타내는 매개변수(예: action=update_widget 또는 동일 스타일 매개변수)를 위해 들어오는 admin-ajax 및 REST 요청을 검사합니다. 요청이 Author 세션에서 오는 경우 차단합니다.
  3. Author 계정을 속도 제한하고 모니터링합니다.
    • POST 또는 admin-ajax 요청에 대해 Author 세션에 더 엄격한 속도 제한을 적용합니다. 이는 자동화된 또는 빠른 변경을 더 어렵게 만듭니다.
  4. 의심스러운 페이로드 차단
    • 위젯 HTML 필드 내에 base64로 인코딩된 스크립트, 난독화된 JavaScript 또는 원격 iframe 주입 패턴이 포함된 입력을 차단합니다.
  5. 위젯 작업을 위한 관리자 IP를 화이트리스트에 추가합니다.
    • 사이트에 정적 IP를 가진 소규모 관리자 팀이 있는 경우, 위젯 구성 엔드포인트를 해당 IP로만 제한합니다.

WAF는 패치를 대체할 수는 없지만, 시간을 벌고 공격 표면을 줄여줍니다.


제안된 WP-Firewall 규칙 예제

아래는 방화벽 콘솔 또는 사용자 정의 WAF 모듈에서 구현할 수 있는 예제 규칙입니다. 이는 설명적인 논리 규칙입니다 (경로/이름을 귀하의 환경에 맞게 조정하십시오).

  • 규칙 1 — Author 역할이 admin-ajax를 통해 위젯을 수정하는 것을 차단합니다:
    • 조건:
      • 요청 경로에 “/wp-admin/admin-ajax.php”가 포함됩니다.”
      • POST 매개변수 “action”이 “rtmkit_update_widget”과 같거나 매개변수 이름에 “rtm_”가 포함됩니다.”
      • 인증된 사용자 역할이 ‘author’입니다.’
    • 작업: 차단 + 로그
  • 규칙 2 — 위젯 업데이트에서 의심스러운 HTML 페이로드를 차단합니다:
    • 조건:
      • 요청에 “<script” 또는 “iframe”이 POST 필드 “content”, “text”, “widget-*”에 포함됩니다.”
      • 출처는 인증된 작성자(또는 인증되지 않은)입니다.
    • 조치: 차단 + 관리자에게 알림
  • 규칙 3 — REST 네임스페이스 제한:
    • 조건:
      • 요청 경로가 “/wp-json/rtmkit/*”와 일치합니다(플러그인 REST 네임스페이스).
      • 메서드는 (POST, PUT, PATCH, DELETE)입니다.
      • 인증된 사용자 권한이 ‘manage_options’보다 낮습니다.’
    • 작업: 차단하거나 추가 토큰/논스 검증을 요구합니다.

WAF가 사용자 정의 응답 페이지를 지원하는 경우, “보안 정책에 의해 요청이 차단되었습니다”와 같은 무해한 메시지를 반환하고 분석을 위해 전체 요청 세부정보를 기록합니다.


WordPress 사이트에 대한 보안 강화 권장 사항

즉각적인 수정 외에도 장기적인 회복력을 위해 이러한 모범 사례를 채택하십시오.

  1. 최소 권한의 원칙
    • 사용자에게 필요한 최소한의 권한만 부여하십시오. 작성자는 사이트 전체 구성이나 위젯을 편집할 수 없어야 합니다.
    • 사용자 역할 및 권한을 감사하십시오. 특정 워크플로우를 위한 사용자 정의 역할을 고려하십시오.
  2. 사용자 등록 및 기본값을 제한하십시오.
    • 사이트에서 등록을 허용하는 경우 기본 역할이 작성자가 아닌 구독자인지 확인하십시오.
    • 공개 가입이 필요한 경우 새 계정에 대해 이메일 확인 및 승인 프로세스를 사용하십시오.
  3. 보안 플러그인 + WAF
    • 관리형 WAF 또는 플러그인 기반 방화벽을 사용하여 일반적인 공격 패턴을 차단하고 패치를 적용하는 동안 보상 제어를 시행하십시오.
  4. 사용자 정의 코드에서 논스 및 권한 콜백을 시행하십시오.
    • 귀하 또는 타사 플러그인이 REST 경로를 등록할 때 항상 설정하십시오. permission_callback 권한을 검증하는 것입니다.
    • 관리 AJAX 작업을 추가할 때 입력을 처리하기 전에 확인하십시오. 현재_사용자_가능() 입력을 처리하기 전에 확인하십시오.
    • 예:
      add_action('wp_ajax_rtmkit_update_widget', 'rtmkit_update_widget_handler');
      
  5. 감사 및 로깅
    • 위젯, 테마 옵션 및 사용자에 대한 변경 사항의 감사 추적을 유지합니다. 역할 변경 및 새로운 사용자 생성에 대한 알림을 켭니다(특히 높은 역할에 대해).
  6. REST API 접근을 강화합니다.
    • 민감한 REST 경로를 잠그고 필요한 것만 노출합니다.
    • 가능하다면 인증된 요청이 추가 검증(논스, 토큰, 권한 검사)을 통과하도록 요구합니다.
  7. 플러그인 위생
    • 사용하지 않는 플러그인과 테마를 제거합니다. 설치된 패키지가 적을수록 공격 표면이 줄어듭니다.
    • 신뢰할 수 있는 취약점 피드/권고에 구독하고 패치 일정을 유지합니다.
  8. 백업 및 복구
    • 자주 테스트된 백업이 있는지 확인합니다. 악성 콘텐츠가 주입되면 깨끗한 파일과 데이터베이스 스냅샷을 신속하게 복원할 수 있습니다.

이 특정 문제에 대해 사이트를 감사하는 방법(단계별)

  1. 인벤토리
    • RTMKit이 설치되어 있는지 및 설치된 버전을 확인합니다.
      • WP 관리자: 플러그인 페이지 또는 RTMKit이 있는 테마/플러그인 번들.
      • 서버에서: 버전 헤더를 확인하기 위해 플러그인 디렉토리를 확인합니다.
  2. 업그레이드
    • 버전 <= 2.0.2인 경우 즉시 2.0.3으로 업데이트합니다(또는 플러그인을 일시적으로 제거합니다).
  3. 위젯 검토
    • 각 위젯화된 영역을 체계적으로 확인합니다(외관 → 위젯 또는 사용자 정의).
    • 예상치 못한 HTML, 태그, iframe, 외부 리소스 포함 또는 의심스러운 단축 코드를 찾습니다.
  4. 감사 로그를 검토하십시오.
    • 위젯에 대한 최근 편집을 찾아 해당 편집을 수행한 사용자를 확인합니다.
    • 로그인 로그 및 IP 주소와 교차 참조합니다.
  5. 사용자 역할을 검증합니다.
    • 작성자 계정을 나열하고 여전히 필요한지 검증합니다. 오래된 계정을 제거하거나 다운그레이드합니다.
  6. 완화 확인
    • WAF 규칙을 사용한 경우, 위젯 업데이트 엔드포인트가 작성자 계정에 대해 차단되고 관리자 계정에 대해 허용되는지 테스트하십시오.
    • 잔여 악성 콘텐츠가 없는지 확인하십시오.
  7. 사고 후 모니터링
    • 남아 있는 공격이나 준비된 공격을 잡기 위해 WAF를 7-14일 동안 엄격한 모드로 유지하십시오.
    • 경고를 위해 검색 엔진 웹마스터 콘솔을 모니터링하십시오.

사고 대응 체크리스트(악용 증거를 발견한 경우)

  1. 격리하다
    • 취약한 플러그인(RTMKit)과 의심스러운 테마 자식 코드를 일시적으로 비활성화하십시오.
    • 조사하는 동안 사이트를 유지 관리 모드로 전환하거나 IP로 접근을 제한하십시오.
  2. 포함
    • 주입된 위젯 콘텐츠를 제거하거나 정리하십시오.
    • 손상된 작성자 계정의 비밀번호를 변경하고 모든 관리자에게 2FA를 시행하십시오.
  3. 근절
    • 백도어 및 악성 파일을 제거하십시오. wp-config.php, 테마 파일, mu-plugins, 업로드 및 플러그인 디렉토리에서 알 수 없는 PHP 파일을 확인하십시오.
    • 코어 및 플러그인 파일을 알려진 좋은 복사본으로 교체하십시오.
  4. 복구
    • 필요할 경우 깨끗한 백업에서 복원하십시오.
    • 패치 및 강화 조치를 다시 적용하십시오.
  5. 검토
    • 근본 원인 분석을 수행하십시오: 작성자 계정이 어떻게 손상되었습니까? 사회 공학이 관련되었습니까? 약한 비밀번호였습니까?
    • 사건을 문서화하고 보안 정책을 업데이트하십시오.
  6. 알림
    • 이해관계자에게 알리고, 적절한 경우 호스팅 제공자 또는 보안 제공자에게 알리십시오.
    • 사건에 사용자 데이터가 포함된 경우, 적용 가능한 공개 또는 준수 요구 사항을 따르십시오.

개발 지침(플러그인/테마 개발자를 위한)

개발자라면, 이 취약점은 안전한 코딩 패턴을 따를 필요성을 강조합니다:

  • 항상 UI와 백엔드 핸들러 모두에서 권한 확인을 시행하십시오. 제어를 표시하거나 숨기는 UI의 존재는 서버 측 권한 부여를 대체할 수 없습니다.
  • REST 엔드포인트의 경우, 항상 설정하십시오. permission_callback 기능을 검증합니다.
  • 상태 변경 요청에 대해 WordPress nonce를 사용하고 서버 측에서 검증합니다. check_admin_referer() 또는 wp_verify_nonce().
  • 기본적으로 역할에 너무 광범위한 기능을 부여하지 마십시오. 민감한 작업에는 세분화된 기능을 사용하는 것을 고려하십시오.
  • 접근 제어 및 권한 논리에 중점을 두고 정기적인 코드 검토 및 자동화된 정적 분석을 수행합니다.

자주 묻는 질문

Q: 저자들이 이미 게시물에 단축코드를 추가할 수 있다면, 위젯 구성은 왜 다릅니까?
A: 게시물의 단축코드는 일반적으로 단일 페이지나 게시물에 영향을 미칩니다. 위젯 구성은 여러 페이지에 걸쳐 나타나는 사이트 전반의 요소(사이드바, 바닥글)를 수정하여 악의적인 마크업의 영향을 증폭시킵니다.
Q: 이 취약점은 익명 사용자에 의해 악용될 수 있나요?
A: 아니요 — 취약점은 저자 수준(또는 그 이상)의 권한을 가진 인증된 계정을 요구합니다. 그러나 공개 등록이나 약한 계정 제어가 있는 사이트는 공격자가 그러한 계정을 얻을 수 있게 할 수 있습니다.
Q: FTP 접근이나 파일 쓰기 접근이 손상되어야 합니까?
A: 반드시 그렇지는 않습니다. 이 취약점은 플러그인의 인터페이스를 통해 위젯 구성 수준에서 수정을 가능하게 하며, 이러한 변경을 위해 파일 쓰기 접근은 필요하지 않습니다.
Q: 안전하게 업그레이드를 연기할 수 있습니까?
A: 안전한 방법은 가능한 한 빨리 업그레이드하는 것입니다. 연기해야 한다면 보상 조치를 구현하십시오(플러그인 비활성화, WAF를 통한 엔드포인트 제한, 저자 기능 제한, 위젯을 자주 감사).

배운 교훈 — 더 넓은 의미

이 공개는 WordPress 보안에서 몇 가지 반복되는 주제를 강조합니다:

  • 디자인이 UI 제한에만 의존할 때 접근 제어 문제가 흔히 발생합니다. 서버 측 검사는 필수입니다.
  • 권한이 낮은 계정은 종종 공격 벡터로 간과됩니다. 구독자 수준 이상의 모든 계정이 표적이 될 수 있다고 가정하십시오.
  • 다층 방어 — WAF + 최소 권한 + 로깅 + 패치 —는 손상 가능성을 줄이고 손상이 발생할 경우 대응 시간을 단축합니다.

WP‑Firewall 관점 — 우리가 어떻게 돕는지

WP‑Firewall에서는 보안이 예방적이고 보상적이라는 원칙에서 운영합니다. 이 RTMKit 문제에 대해 우리는 다음을 권장합니다:

  • 2.0.3으로 즉시 패치합니다.
  • 저자 수준의 플러그인 위젯 엔드포인트 수정을 차단하기 위해 보상 WAF 규칙을 배포합니다.
  • 비정상적인 위젯 편집이 경고를 트리거하도록 지속적인 모니터링을 구현하십시오.
  • 플러그인/테마가 구식이거나 낮은 권한 역할에 높은 기능을 노출하는지 식별하기 위해 주기적인 보안 건강 검사를 제공합니다.

우리는 플러그인 관련 손상된 접근 제어 패턴을 위해 특별히 규칙 템플릿을 구축하며, 이를 신속하게 배포하여 문제 있는 구성 요소를 테스트하고 업데이트하는 동안 사이트를 보호할 수 있습니다.


WP‑Firewall Free를 사용해 보세요 — 필수 보안으로 사이트를 보호하세요.

오늘 무료로 WordPress 사이트를 보호하기 시작하세요.

위의 수정 사항을 적용하는 동안 빠르고 비용이 들지 않는 보호 계층을 추가하고 싶다면 WP‑Firewall의 Basic (Free) 플랜을 사용해 보세요. 이 플랜에는 관리형 방화벽 제어, 애플리케이션 계층 WAF, 무제한 대역폭, 악성 코드 스캔 및 OWASP Top 10 위험에 대한 완화가 포함되어 있습니다 — 플러그인 접근 제어 문제로부터 노출을 줄이는 데 필요한 모든 것입니다. 가입하고 즉시 사이트에 보호를 적용하세요: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

악성 코드의 자동 제거 또는 추가 제어(IP 블랙리스트, 자동 가상 패치, 월간 보고서 및 관리 서비스)가 필요하다면, 우리의 유료 계층은 점진적인 보호와 실질적인 지원을 제공합니다.


실용적인 코드 조각 및 예제

아래는 사용자 정의 핸들러에서 서버 측 권한 부여를 확인하고 개선하는 데 사용할 수 있는 몇 가지 실용적인 코드 패턴 및 예제입니다.

예: 안전한 admin-ajax 핸들러

add_action('wp_ajax_rtmkit_update_widget', 'secure_rtmkit_update_widget');

예: 권한 콜백이 있는 REST 경로 등록

register_rest_route( 'rtmkit/v1', '/widget/(?P\d+)', array(;

이러한 패턴은 서버 측 검증 및 권한 확인을 강조합니다 — CVE‑2026‑3426을 방지했을 필수 가드레일입니다.


최종 체크리스트 — 사이트 소유자를 위한 단계별 안내

  1. RTMKit (<=2.0.2)가 설치되어 있는지 확인하십시오.
  2. RTMKit를 즉시 2.0.3 이상으로 업데이트하십시오. 업데이트할 수 없는 경우 플러그인을 비활성화하십시오.
  3. 위젯 영역을 감사하고 의심스러운 HTML 또는 스크립트를 제거하십시오.
  4. 의심스러운 계정의 비밀번호를 변경하고 관리자에게 강력한 비밀번호 / 2FA를 요구하십시오.
  5. 플러그인 엔드포인트에 대한 작성자 수준 수정 시도를 차단하기 위해 WAF 규칙을 적용하여 임시 제어를 수행하십시오.
  6. 사용자 역할을 검토하고 불필요한 작성자 계정을 제거하십시오.
  7. 위젯 편집 및 역할 변경에 대한 로깅 및 경고를 활성화하십시오.
  8. 사이트를 백업하고 수행한 모든 작업을 문서화하십시오.

마무리 생각

잘못된 접근 제어는 위젯과 같은 사이트 전체 구성 요소의 확장된 영향으로 인해 정기적으로 높은 영향을 미치는 결과를 초래하는 기만적으로 간단한 취약점 클래스입니다. 이 특정 RTMKit 문제는 악용하기 위해 작성자 수준의 접근이 필요했으며, 이는 익명 원격 코드 실행에 비해 심각성을 낮추지만 무해하게 만들지는 않습니다. 귀하의 사이트가 RTMKit을 사용하는 경우 지금 업데이트하십시오. 업데이트하는 동안 단기적인 보완 제어가 필요하다면, 의도적인 WAF 규칙 세트를 사용하고 계정을 강화하면 위험을 크게 줄일 수 있습니다.

여기에서 설명된 완화 조치를 구현하는 데 도움이 필요하시거나, 보안 팀이 패치를 적용하는 동안 보완 WAF 규칙을 적용하도록 하려면, 우리의 WP‑Firewall 지원 팀이 신속하게 보호 조치를 마련하는 데 도움을 드릴 수 있습니다.

안전하게 지내고 역할 기반 권한을 일급 보안 제어로 취급하십시오.

— WP‑Firewall 보안 팀


wordpress security update banner

WP Security Weekly를 무료로 받으세요 👋
지금 등록하세요
!!

매주 WordPress 보안 업데이트를 이메일로 받아보려면 가입하세요.

우리는 스팸을 보내지 않습니다! 개인정보 보호정책 자세한 내용은