WordPress LuxeDrive 테마 1.0 이하, 심각한 로컬 파일 포함 취약점(CVE-2026-27076) 노출

WordPress 프리미엄 테마 'LuxeDrive'의 1.0 이하 버전에 심각한 보안 취약점이 공개적으로 식별됐다. CVE-2026-27076으로 추적되는 이 취약점은 CWE-98 'PHP 파일 포함 제어 불량'에 해당하며, 공격자가 네트워크를 통해 시스템의 민감한 로컬 파일을 읽거나 임의 코드를 실행할 수 있는 위험을 초래한다. CVSS 3.1 기준 8.1점의 높은 위험 등급이 부여됐으며, 기밀성, 무결성, 가용성 모두에 높은 영향을 미칠 수 있다.

이 취약점은 Mikado-Themes가 개발한 LuxeDrive 테마 버전 1.0 및 그 이전 버전에 영향을 미친다. 공격 벡터는 네트워크를 통하지만 공격 복잡성은 '높음'으로 평가되어 즉각적인 대규모 악용 가능성은 상대적으로 낮을 수 있다. 그러나 필요한 권한이 없고 사용자 상호작용이 필요하지 않다는 점에서, 일단 악용 기법이 공개되면 위험은 상당히 증가할 수 있다. 현재까지 알려진 공격 시나리오나 실제 악용 사례는 보고되지 않았으며, CISA의 알려진 악용 취약점(KEV) 카탈로그에는 등재되지 않은 상태다.

해당 테마를 사용하는 모든 WordPress 사이트 관리자는 즉각적인 조치가 필요하다. 공식적인 패치가 출시되기 전까지는 영향받는 버전의 사용을 중단하고, 제조사(Mikado-Themes)의 보안 권고를 주시해야 한다. 또한, 취약점이 존재할 수 있는 경로에 대한 네트워크 접근을 제한하는 임시 조치를 고려할 수 있다. 이는 테마 사용자에게 직접적인 보안 위협이 될 뿐만 아니라, 호스팅된 전체 서버의 안전성을 위협할 수 있는 사안이다.