Владельцам сайтов на WordPress необходимо срочно принять меры в связи с обнаружением критической бреши в безопасности плагина Modular DS. Уязвимость, получившая максимальный рейтинг опасности 10.0 баллов по шкале CVSS, в данный момент активно эксплуатируется злоумышленниками. Дефект позволяет неаутентифицированным хакерам получить полный доступ администратора к ресурсу. Проблема затрагивает все версии плагина 2.5.1 и ниже, что ставит под угрозу более 40 000 активных установок. Единственным способом защиты является немедленное обновление до исправленной версии 2.5.2.
Обнаруженная компанией Patchstack, специализирующейся на безопасности WordPress, уязвимость классифицируется как неаутентифицированное повышение привилегий. Корень проблемы кроется в механизме маршрутизации плагина, который некорректно обрабатывает так называемые «прямые запросы». Ошибка возникает при обращении к маршрутам с префиксом
Техническая реализация атаки сводится к манипуляции параметрами запроса для обхода промежуточного программного обеспечения (middleware) аутентификации. Злоумышленнику достаточно передать параметр
Специалисты Patchstack поясняют природу дефекта следующим образом: «В версиях 2.5.1 и ниже плагин уязвим для повышения привилегий из-за сочетания факторов, включая прямой выбор маршрута, обход механизмов аутентификации и автоматический вход в систему под правами администратора». Основные архитектурные просчеты включают сопоставление маршрутов на основе URL, чрезмерно разрешительный режим прямых запросов и аутентификацию, основанную исключительно на состоянии подключения сайта, без должной верификации.
В результате успешного обхода защиты хакерам открывается доступ к критически важным маршрутам, таким как
Эксперты подчеркивают серьезность ситуации, отмечая: «Эта уязвимость подчеркивает, насколько опасным может быть неявное доверие к путям внутренних запросов при их воздействии на общедоступный интернет». Отсутствие строгой валидации делает систему беззащитной перед простыми манипуляциями с параметрами URL, превращая механизм удобного входа в открытую дверь для киберпреступников.
Атаки с использованием CVE-2026-23550 уже фиксируются в реальном времени. Первые случаи активной эксплуатации были обнаружены 13 января 2026 года примерно в 02:00 ночи. Специалистам по безопасности удалось идентифицировать конкретные IP-адреса, с которых велась вредоносная деятельность, включая
Изображение носит иллюстративный характер
Обнаруженная компанией Patchstack, специализирующейся на безопасности WordPress, уязвимость классифицируется как неаутентифицированное повышение привилегий. Корень проблемы кроется в механизме маршрутизации плагина, который некорректно обрабатывает так называемые «прямые запросы». Ошибка возникает при обращении к маршрутам с префиксом
/api/modular-connector/, где слой безопасности может быть обойден, если активирован режим прямого запроса. Это происходит из-за отсутствия криптографической проверки связи между входящим запросом и серверами Modular. Техническая реализация атаки сводится к манипуляции параметрами запроса для обхода промежуточного программного обеспечения (middleware) аутентификации. Злоумышленнику достаточно передать параметр
origin со значением "mo" и параметр type с любым значением, например xxx. Пример такой строки выглядит как origin=mo&type=xxx. Единственным предварительным условием для успешной эксплуатации является наличие активного соединения сайта с сервисом Modular, что подразумевает присутствие или возможность обновления токенов в системе. Специалисты Patchstack поясняют природу дефекта следующим образом: «В версиях 2.5.1 и ниже плагин уязвим для повышения привилегий из-за сочетания факторов, включая прямой выбор маршрута, обход механизмов аутентификации и автоматический вход в систему под правами администратора». Основные архитектурные просчеты включают сопоставление маршрутов на основе URL, чрезмерно разрешительный режим прямых запросов и аутентификацию, основанную исключительно на состоянии подключения сайта, без должной верификации.
В результате успешного обхода защиты хакерам открывается доступ к критически важным маршрутам, таким как
/server-information/, /manager/, /backup/ и, что наиболее опасно, /login/. Эксплуатируя маршрут /login/{modular_request}, атакующий инициирует процедуру входа, которая автоматически переключается на учетную запись администратора. Это предоставляет злоумышленнику полный контроль над сайтом, возможность удаленного входа, доступ к конфиденциальным данным пользователей и системы, а также возможность внедрения вредоносного кода или перенаправления посетителей на мошеннические ресурсы. Эксперты подчеркивают серьезность ситуации, отмечая: «Эта уязвимость подчеркивает, насколько опасным может быть неявное доверие к путям внутренних запросов при их воздействии на общедоступный интернет». Отсутствие строгой валидации делает систему беззащитной перед простыми манипуляциями с параметрами URL, превращая механизм удобного входа в открытую дверь для киберпреступников.
Атаки с использованием CVE-2026-23550 уже фиксируются в реальном времени. Первые случаи активной эксплуатации были обнаружены 13 января 2026 года примерно в 02:00 ночи. Специалистам по безопасности удалось идентифицировать конкретные IP-адреса, с которых велась вредоносная деятельность, включая
185.196.0[.]11 и 11.89[.]19. Учитывая простоту метода и высокий уровень доступа, который получают атакующие, обновление плагина Modular DS является критически важной задачей для администраторов.
