1. WordPress Plugin 개요¶
WordPress 웹 사이트에 새로운 기능을 추가하거나 기존 기능을 확장할 수 있는 소프트웨어 프로그램으로, WordPress Core 코드를 수정하지 않고 사용자가 원하는 방향으로 사이트를 커스텀할 수 있습니다. 플러그인은 코어와 다른 파일로 구분되어 있기 때문에, 코어를 업데이트해도 플러그인은 영향받지 않습니다.
그리고, 플러그인의 경우 누군가 만들어놓은 것을 코어에 설치해서 사용하기 때문에 플러그인이 보안에 취약하다면 구성한 워드프레스 사이트 또한 취약하게 운영될 수 있습니다.
본 장에서는 WordPress Plugin을 분석하는 방법과 취약점을 발견했을 때 어떤 방식으로 제보할 수 있는지 다루겠습니다.
1.1. PatchStack¶
patchstack이라는 사이트는 워드프레스 보안에 특화된 보안 플랫폼으로 취약점 인텔리전스 기업이 운영하고 있습니다. 주로 Offensive Security, Bug Hunter가 해당 플랫폼을 이용해서 취약점을 제보하고 결과에 따른 바운티를 보상으로 받는 구조입니다.
플랫폼의 주요 역할은 버그바운티와 취약점 데이터베이스 운영 등을 하고 있으며, 취약점 제보 대상은 워드프레스 코어, 플러그인, 테마에 해당됩니다. 제보 대상 중에서 취약점을 제보하면 평가를 통해서 CVE 번호를 발급 받고 프로필에 제보한 CVE가 등록되게 됩니다.
워드프레스는 취약점을 제보하고 CVE를 발급 받으면, 매달 순위권에 맞는 바운티를 보상으로 받게되지만 순위권에 들지 못 한다면 별도의 보상은 받지 못합니다.
- 취약점에 해당되는 CVE는 발급
1.2. 취약점 제보 Rule¶
당연하게도 취약점을 제보할 때에는 별도의 룰이 지정되어 있기 때문에, 정해진 규칙을 확인하고 취약점 분석 및 제보를 진행해야 평가와 CVE 발급 절차가 진행됩니다. 정해진 규칙에 따르지 않으면 제보한 취약점은 Reject되고 평가되지 않습니다.
취약점 분석 및 제보할 경우 아래 rule과 가이드라인을 반드시 참고해야합니다.
- 취약점 제보 Rule :
https://patchstack.com/database/report - 버그바운티 가이드라인 :
https://patchstack.com/articles/bug-bounty-guidelines-rules/
2026년에 개정된 버그 바운티 가이드라인및 규칙 요약은 다음과 같습니다.
-
취약점 제보 범위 대상
- 활성 설치 수 1,000회 이상
- 활성 설치 수 1,000회 미만인 경우, CVSS 점수가 8.5 이상이 아니라면 모두 제보 제외 대상
-
플러그인/테마 등은 최신 버전만 허용되고, 최종 업데이트 후 3년 이내 (공개적으로 이용 가능한 경우)
- 인증되지 않은 사용자(un-auth) 또는 Subscriber, Customer 권한만 취약점 보고 대상
- Contributor-level 권한의 경우는 CVSS 7.5 이상인 경우만 허용되며 그 외의 권한은 보고 대상 제외
- Contributor-level(or higher) 권한 이상의 Stored XSS는 제외 대상
2.¶
참고¶
- Gemini API 시작하기: https://ai.google.dev/gemini-api/docs/quickstart?hl=ko