Una vulnerabilidad crítica de escalada de privilegios no autenticada en el plugin de WordPress Modular DS permite a los atacantes obtener acceso instantáneo de administrador, con explotación confirmada en la naturaleza. Afectando a más de 40.000 sitios, la falla en versiones hasta la 2.5.1 ha impulsado parches urgentes y mitigaciones por parte de Patchstack y el proveedor. Modular DS, desarrollado por modulards.com
Una vulnerabilidad crítica de escalada de privilegios sin autenticación en el plugin de WordPress Modular DS permite a los atacantes obtener acceso instantáneo como administradores, con explotación confirmada en la naturaleza.
Afectando a más de 40.000 sitios, la falla en versiones hasta la 2.5.1 ha impulsado parches urgentes y mitigaciones por parte de Patchstack y el proveedor.
Modular DS, desarrollado por modulards.com, permite la gestión remota de múltiples sitios WordPress, incluyendo monitoreo, actualizaciones y copias de seguridad.
Según Patchstack, el problema central proviene de una falla en el enrutador similar a Laravel del plugin en /api/modular-connector/.
Los atacantes pueden activar el modo "direct request" usando origin=mo y cualquier parámetro type, evadiendo el middleware de autenticación si el sitio está conectado a los servicios de Modular.
Esto expone rutas protegidas como /login/{modular_request}, donde el AuthController inicia sesión automáticamente como usuario administrador mediante getAdminUser() si no se especifica un ID de usuario. No hay firmas, secretos ni verificaciones de IP que validen las solicitudes, lo que permite una cadena de compromisos completos mediante acciones como limpieza de caché, copias de seguridad o instalación de plugins.
| ID de CVE | Puntuación CVSS v3.1 | Gravedad | Versiones afectadas | Versión corregida |
|---|---|---|---|---|
| CVE-2026-23550 | 10.0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) | Crítica | <= 2.5.1 | 2.5.2 |
Explotación activa e IOCs
Los ataques comenzaron el 13 de enero de 2026, alrededor de las 2 AM UTC, dirigidos a /api/modular-connector/login/ con parámetros origin=mo&type=foo. Las explotaciones exitosas crean administradores con nombres como "PoC Admin" y correos electrónicos falsos. Patchstack detectó intentos coincidentes incluso después de desplegar las mitigaciones.
| IP del atacante | Notas |
|---|---|
| 45.11.89[.]19 | Escaneos iniciales |
| 162.158.123[.]41 | Sondeos de inicio de sesión |
| 172.70.176[.]95 | Creación de administradores |
| 172.70.176[.]52 | Intentos de persistencia |
La versión 2.5.2 elimina la coincidencia de rutas basada en URL, añade un fallback 404 por defecto y aplica validación de tipo (request, oauth, lb) antes de enlazar rutas. La regla de mitigación de Patchstack bloquea automáticamente los exploits.
Los usuarios de Modular DS deben actualizar inmediatamente; activa las actualizaciones automáticas para plugins vulnerables. Revisa los registros en busca de IOCs y revoca administradores sospechosos. Este incidente subraya los riesgos de exponer públicamente rutas internas permisivas y destaca la necesidad de validación criptográfica de solicitudes.
Fuentes:
https://cybersecuritynews.com/wordpress-plugin-vulnerability-admin-access/
No hay comentarios:
Publicar un comentario