속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
CVE·취약점AI 초안

워드프레스 Blocksy Companion Pro 플러그인, 인증 우회 임의 파일 업로드 취약점 발견(CVE-2026-58480)

2.1.47 이전 버전에서 이중 확장자 기법으로 검증 우회 가능, CVSS 9.8 Critical 등급의 원격 코드 실행 취약점 확인

백남정 기자
입력 2026년 7월 14일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/7d6dc0

핵심 요약

- 워드프레스 Blocksy Companion Pro 플러그인 2.1.47 이전 버전에서 인증 없이 악용 가능한 임의 파일 업로드 취약점(CVE-2026-58480) 발견 - Advanced Reviews 기능의 save_attachments 함수에서 strpos() 부분 문자열 검증 결함을 이중 확장자(shell.woff2.php)로 우회하여 원격 코드 실행 가능 - CVSS 9.8점 Critical 등급으로 평가되며, 공격자는 인증 없이 웹셸 업로드를 통해 서버 완전 장악 가능

주요 내용

2026년 7월, 워드프레스 생태계에서 널리 사용되는 Blocksy Companion Pro 플러그인에서 치명적인 보안 취약점이 공개되었다. CVE-2026-58480으로 식별된 이 취약점은 CVSS 3.x 기준 9.8점(Critical)으로 평가되어, 인증 없이 원격에서 악의적인 코드를 실행할 수 있는 최고 수준의 위험도를 보인다.

이 취약점은 Blocksy Companion Pro의 Advanced Reviews(고급 리뷰) 기능에서 발생한다. 구체적으로 save_attachments 함수가 첨부파일 업로드를 처리하는 과정에서 파일 확장자 검증에 strpos() 함수를 사용하는데, 이는 단순 부분 문자열 매칭만을 수행한다. Custom Fonts 확장 기능은 .woff2 같은 웹폰트 파일을 허용하기 위해 strpos() 검사를 구현했지만, 공격자는 'shell.woff2.php'와 같은 이중 확장자 파일명을 사용하여 이 검증을 우회할 수 있다.

검증 로직은 파일명 내에 '.woff2' 문자열이 포함되어 있는지만 확인하므로 'shell.woff2.php' 파일은 정상 파일로 통과된다. 하지만 대부분의 웹서버(Apache, Nginx 등)는 확장자 우선순위에 따라 최종 확장자인 .php를 기준으로 파일을 처리하여, 업로드된 파일이 PHP 코드로 실행된다. 이를 통해 공격자는 인증 절차 없이 웹셸을 업로드하고 서버에서 임의 명령을 실행할 수 있게 된다.

Patchstack과 VulnCheck는 이 취약점을 독립적으로 검증했으며, 워드프레스 공식 플러그인 저장소에서는 2.1.47 버전으로 긴급 패치를 배포했다. 현재 전 세계적으로 수만 개의 워드프레스 사이트가 이 플러그인을 사용하고 있어 광범위한 영향이 우려된다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이 사례는 입력값 검증(Input Validation) 통제의 전형적인 실패 사례다. strpos()와 같은 부분 문자열 매칭 함수는 화이트리스트 검증에 부적합하며, 파일 업로드 시에는 pathinfo()나 정규표현식을 활용한 완전한 확장자 추출 및 검증이 필수다. 특히 파일명의 마지막 확장자만을 신뢰하는 것이 아니라, 이중 확장자 패턴 자체를 차단하거나 업로드된 파일의 MIME 타입과 실제 내용(Magic Bytes)을 교차 검증해야 한다.

기업 실무 차원에서는 워드프레스 플러그인 사용 시 정기적인 취약점 모니터링 체계 구축이 필수적이다. 특히 파일 업로드 기능을 제공하는 플러그인은 높은 우선순위로 관리하고, 웹 애플리케이션 방화벽(WAF)에서 이중 확장자 패턴과 실행 가능한 확장자의 조합을 차단하는 규칙을 적용해야 한다. 또한 업로드 디렉토리에 대한 실행 권한 제거(.htaccess 또는 nginx 설정)와 웹 접근 가능 경로 외부로의 파일 저장을 검토할 필요가 있다.

영향받는 시스템 및 조치사항

영향 범위: - Blocksy Companion Pro 플러그인 2.1.47 이전 모든 버전 - Advanced Reviews 기능 또는 Custom Fonts 확장이 활성화된 워드프레스 사이트 - 인증되지 않은 원격 공격자가 네트워크를 통해 악용 가능 (AV:N, AC:L, PR:N)

CVSS 3.x 점수 해석: - 기본 점수: 9.8 (Critical) - 공격 벡터: 네트워크 (AV:N) - 공격 복잡도: 낮음 (AC:L) - 특별한 조건 불필요 - 필요 권한: 없음 (PR:N) - 인증 불필요 - 사용자 상호작용: 없음 (UI:N) - 영향: 기밀성(C:H), 무결성(I:H), 가용성(A:H) 모두 높음

조치사항: 1. 긴급 패치: Blocksy Companion Pro를 2.1.47 이상 버전으로 즉시 업데이트 2. 침해 흔적 점검: 업로드 디렉토리 내 이중 확장자 파일(.woff2.php, .ttf.php 등) 검색 및 삭제 3. 웹서버 로그 분석: save_attachments 경로로의 POST 요청 이력 확인 4. 보안 강화: 업로드 디렉토리에 PHP 실행 차단 설정 적용 5. WAF 규칙 추가: 이중 확장자 패턴 업로드 차단 정책 구현

CPPG·ISMS-P 연계 포인트

1. 입력값 검증 및 파일 업로드 보안 (ISMS-P 2.5.2 입력데이터 검증) ISMS-P 인증기준 2.5.2는 응용프로그램 개발 시 입력값에 대한 유효성 검증을 요구한다. 본 취약점은 strpos() 기반의 불완전한 검증이 화이트리스트 우회를 허용한 사례로, 파일 업로드 시 ① 확장자의 완전 일치 검증, ② MIME 타입 검증, ③ 파일 내용(Magic Bytes) 검증, ④ 실행 권한 제거의 다층 방어가 필요함을 보여준다. 시험에서는 안전한 파일 업로드 구현 방법과 화이트리스트 검증 원칙이 출제될 수 있다.

2. 취약점 관리 및 CVSS 평가 체계 (ISMS-P 2.6.3 보안 취약점 점검) CVE-2026-58480의 CVSS 9.8점은 '인증 불필요(PR:N) + 원격 공격(AV:N) + 낮은 복잡도(AC:L) + 전체 영향(CIA:H)'의 조합으로 산출되었다. ISMS-P 2.6.3은 정보시스템에 대한 주기적 취약점 점검과 위험도 기반 조치를 요구하며, Critical 등급 취약점은 발견 즉시 긴급 패치를 적용해야 한다. 실무에서는 CVSS 점수를 활용한 우선순위 판단 능력과 플러그인/서드파티 컴포넌트 취약점 모니터링 체계 구축이 심사 시 평가된다.

#CVE-2026-58480#워드프레스#파일업로드취약점#Blocksy#RCE
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사