## WordPress Jobica Core 플러그인 <= 1.4.2, 인증 우회 취약점(CVE-2026-27049)으로 관리자 계정 탈취 위험
WordPress용 Jobica Core 플러그인 1.4.2 이하 버전에 심각한 인증 우회 취약점(CVE-2026-27049)이 존재한다. 이 취약점은 CVSS 9.8의 위험 등급을 부여받았으며, 공격자가 특정 경로를 통해 인증 절차를 완전히 우회할 수 있게 한다. 인증 검증이 누락된 이 경로는 CWE-288(인증 우회용 대체 경로/채널)에 해당하며, 공격자가 네트워크를 통해 직접 접근하여 관리자 권한을 포함한 모든 계정을 탈취할 수 있는 가능성을 열어둔다.

취약점은 NooTheme에서 개발한 Jobica Core 플러그인에 존재하며, 1.4.2 및 그 이전 버전을 사용하는 모든 WordPress 사이트가 영향을 받는다. 공격 벡터(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)는 공격이 네트워크를 통해 이루어지며, 낮은 복잡도로 높은 수준의 기밀성, 무결성, 가용성 침해를 초래할 수 있음을 보여준다. 이는 단순한 정보 노출을 넘어, 공격자가 시스템 설정을 변조하거나 악성 코드를 배포하는 등 장기적인 피해를 야기할 수 있는 위험을 내포한다.

해당 취약점은 2026년 3월 27일 탐지되었으며, 현재까지 공개된 익스플로잇(KEV)은 없는 것으로 알려졌다. 그러나 CVSS 9.8의 심각도는 즉각적인 패치 적용이 필요함을 시사한다. 관리자 권한 탈취는 웹사이트 데이터의 완전한 유출, 변조, 서비스 중단으로 이어질 수 있으며, 이는 기업의 온라인 신뢰도와 운영에 직접적인 타격을 줄 수 있다. 모든 Jobica Core 플러그인 사용자는 즉시 최신 버전으로 업데이트해야 한다.
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: WordPress, CVE-2026-27049, 인증우회, 플러그인보안, CVSS9.8
- **Credibility**: unverified
- **Published**: 2026-03-26 16:27:24
- **ID**: 35778
- **URL**: https://whisperx.ai/en/intel/35778