안녕하세요.
로워드 팀입니다.
AL Pack 1.1.2 Release 소식과 함께 1.1.1 업데이트 이후 워드프레스 플러그인 마켓에서 공개용 모델이 지원이 일시 중단된 부분에 대한 내용을 설명합니다.
릴리즈 내용
로워드 팀은 AL Pack Public 플러그인 사용자들을 위해 무분별한 어뷰징성 사용을 막기 위해 최소한의 자격 검증을 이루고 있었습니다. 해당 검증은 presslearn.co.kr에 가입이 되어 있는 회원을 대상으로만 공개용 플러그인을 제한적으로 제공하고 있습니다.
1.1.1 패치 이후 WordPress의 공개 플러그인의 취약점 분석을 하고 있는 전문 팀인 WordFence으로 부터 API 관련 리포트(CVE-2025-7664)가 도착하여 해당 부분을 개선하기 위해 일시적으로 공개용 플러그인 배포를 중지하였습니다. 로워드 팀은 즉시 CVE-2025-7664에 대한 해결에 착수하였으며 2025년 8월 19일 오후 2시 30분 경 워드프레스 팀으로부터 해당 취약점이 개선된 버전을 커밋하였습니다.
사실상 해당 패치 이전에도 유저의 플러그인 사용에는 큰 장애가 없었으며, AL Pack 플러그인은 별도로 외부로 데이터를 전송하거나 수집 활동을 하지 않기에 실질적인 사용자 보안에는 아무런 영향이 없습니다. 단순한 실 사용자 검증용으로 사용되는 기능이며, 무료로 배포된 버전이기에 큰 우려사항이 전혀 없습니다.
패치 사항은 보안 취약점 해결(인증 우회 문제 수정) 및 REST API 권한 검사 강화, 활성화 과정에서 멀티 레이어 보안 검증 시스템을 도입하여 강화된 인증 절차를 구현하였습니다. 로워드 팀은 해당 릴리즈 이후 좀 더 강화된 인증 보안 강화를 위해 차후 검증 미들웨어를 추가로 도입하여 완벽한 토큰 관리 형식으로 변환될 예정입니다.
잠시나마 이용에 불편을 드려 대단히 죄송합니다.
감사합니다.
로워드 팀 드림.
최초 작성일: 2025년 8월 19일
