WordPress PitchPrint 플러그인 취약점(CVE-2026-22448): 11.1.2 이하 버전에서 임의 파일 삭제 가능

WordPress용 PitchPrint 플러그인의 11.1.2 이하 버전에서 심각한 경로 탐색(Path Traversal) 취약점이 공개적으로 식별됐다. CVE-2026-22448로 지정된 이 취약점은 네트워크를 통해 원격으로 악용될 수 있으며, 공격자가 낮은 복잡성으로 시스템의 임의 파일을 삭제할 수 있는 위험을 초래한다. CVSS 3.1 기준 위험도 점수는 7.5(높음)로 평가되어 즉각적인 주의가 요구된다.

이 취약점은 플러그인 개발사인 flexcubed의 PitchPrint 제품에 영향을 미친다. 공격 벡터 분석에 따르면, 공격자는 특별한 권한이나 사용자 상호작용 없이도 네트워크를 통해 취약점에 접근할 수 있다. 주요 위험은 시스템 파일의 기밀성에 대한 높은 수준의 손상으로, 웹사이트의 무결성과 가용성을 위협할 가능성이 있다. 현재 EPSS(Exploit Prediction Scoring System) 점수는 0.02%로 상대적으로 낮으나, CVSS 점수의 높은 위험도는 신속한 조치를 필요로 하는 명백한 신호다.

해당 취약점은 아직 CISA의 KEV(알려진 악용 취약점) 목록에는 포함되지 않았지만, 모든 WordPress 사이트 관리자는 즉시 영향을 받는 버전을 확인해야 한다. 권고되는 대응 방안은 제조사의 공식 보안 권고문을 확인하고, 가능한 최신 버전으로 플러그인을 즉시 업데이트하는 것이다. 패치 적용 전까지는 취약한 구간에 대한 네트워크 접근 제한을 고려해야 할 수 있다. 이는 수많은 웹사이트가 의존하는 WordPress 생태계 내에서 제3자 플러그인을 통한 공격 표면이 지속적으로 확대되고 있음을 보여주는 사례다.