В популярном плагине для WordPress под названием Modular DS обнаружили критическую уязвимость, которую уже используют злоумышленники. Баг позволяет повысить привилегии без какой-либо аутентификации и затрагивает все версии плагина до 2.5.1 включительно.
Согласно статистике разработчиков, плагин установлен более чем на 40 000 сайтов. Уязвимость получила идентификатор CVE-2026-23550 и набрала 10 баллов из 10 возможных по шкале CVSS.
Как объясняют специалисты Patchstack, корень проблемы заключается в механизме маршрутизации плагина. В теории чувствительные маршруты должны быть защищены аутентификацией, и плагин открывает свои маршруты через префикс /api/modular-connector/.
Но исследователи выяснили, что защиту можно обойти, если включен режим «прямого запроса». Достаточно добавить в запрос параметр origin со значением mo и любой параметр type (например, origin=mo&type=xxx). После чего запрос воспринимается как прямой запрос от Modular. Эксперты пишут:
«Как только сайт подключен к Modular (токены присутствуют или могут быть обновлены), любой может обойти проверку аутентификации. Криптографической связи между входящим запросом и самим Modular нет».
Уязвимость открывает доступ к нескольким маршрутам: /login/, /server-information/, /manager/ и /backup/. Через них атакующие могут удаленно войти в систему и получить конфиденциальные данные о системе или пользователях.
Самое опасное — маршрут /login/{modular_request}, так как этим способом неаутентифицированный злоумышленник получает права администратора. Это открывает путь к полной компрометации сайта: можно внедрить вредоносный код, разместить на ресурсе малварь или перенаправить посетителей на фишинговые страницы.
По данным специалистов, первые атаки на этот баг были зафиксированы 13 января 2026 года. Злоумышленники отправляли HTTP GET-запросы на эндпоинт /api/modular-connector/login/, а затем пытались создать учетную запись администратора. Атаки исходили с двух IP-адресов: 45.11.89[.]19 и 185.196.0[.]11.
Затем исследователи обнаружили, что злоумышленники создают на взломанных сайтах нового пользователя-администратора, как правило, с именем пользователя backup и адресами электронной почты backup@wordpress.com и backup1@wordpress.com.
Patchstack настоятельно рекомендует всем пользователям плагина обновиться до исправленной версии как можно скорее. Патч вошел в состав Modular DS версии 2.5.2.
Разработчики плагина также советуют проверить сайты на признаки компрометации: появление новых административных аккаунтов, наличие подозрительных запросов от автоматических сканеров.
«Уязвимость находилась в кастомном слое маршрутизации, расширяющем функциональность Laravel, — пояснили разработчики плагина. — Логика сопоставления маршрутов была слишком мягкой и позволяла специально подготовленным запросам достучаться до защищенных эндпоинтов, минуя проверку аутентификации».
