수십만개 웹사이트에서 사용하는 인기 워드프레스 플러그인에서 심각한 보안 취약점이 발견돼 이용자들의 즉각적인 업데이트가 요구된다.
12일(현지시간) IT 전문매체 테크레이더에 따르면 보안업체 아퀴아(Acquia)의 드류 웨버 연구원은 엘리멘터(Elementor)가 개발한 웹 접근성 플러그인 '앨리(Ally)'에서 SQL 인젝션 취약점을 발견했다. 이 취약점(CVE-2026-2413)은 인증되지 않은 공격자가 데이터베이스에 민감한 정보를 추출할 수 있도록 허용한다.
해당 취약점은 심각도 점수 10점 만점에 7.5점(높음)을 받았으며 앨리 플러그인 4.0.3 이하 모든 버전에 영향을 미친다. 2025년 11월 출시된 앨리는 웹사이트의 접근성 문제를 식별하고 해결책을 제공하는 도구다.
현재 앨리 플러그인은 40만개 이상의 활성 웹사이트에 설치된 것으로 파악된다. 이 중 최신 보안 패치가 적용된 버전을 사용하는 사이트는 38.4%인 15만3600개에 불과하다. 나머지 약 24만6600개 웹사이트는 여전히 데이터 탈취 공격에 노출된 상태다.
개발사 엘리멘터는 지난 2월 23일 배포한 4.1.0 버전에서 해당 취약점 패치를 완료했다. 보안 전문가들은 워드프레스의 보안 취약점 대부분이 서드파티 플러그인이나 테마에서 발생한다며 사용하지 않는 플러그인은 삭제하고 항상 최신 버전을 유지할 것을 권고했다.
이와 별개로 워드프레스는 최근 10개의 다른 취약점을 수정한 보안 업데이트 6.9.2 버전을 출시했다. 여기에는 교차 사이트 스크립팅(XSS), 인증 우회, 서버 측 위조 요청(SSRF) 버그 등이 포함됐다. 워드프레스는 사용자들에게 최신 버전을 '즉시' 설치할 것을 촉구했다.