Una falla de seguridad de máxima gravedad en un complemento de WordPress llamado DS modular ha sido objeto de explotación activa en estado salvaje, según Patchstack.
La vulnerabilidad, registrada como CVE-2026-23550 (puntuación CVSS: 10.0), se ha descrito como un caso de escalamiento de privilegios no autenticado que afecta a todas las versiones del complemento anteriores a la 2.5.1, incluida. Se ha corregido en la versión 2.5.2. El plugin tiene más de 40 000 instalaciones activas.
«En las versiones 2.5.1 y anteriores, el complemento es vulnerable a la escalada de privilegios, debido a una combinación de factores que incluyen la selección directa de rutas, la omisión de los mecanismos de autenticación y el inicio de sesión automático como administrador», dijo Patchstack dijo .
El problema radica en su mecanismo de enrutamiento, que está diseñado para poner ciertas rutas sensibles detrás de una barrera de autenticación. El complemento expone sus rutas bajo el prefijo «/api/modular-connector/».
Sin embargo, se ha descubierto que esta capa de seguridad se puede omitir cada vez que se habilita la «solicitud directa» proporcionando un parámetro de «origen» establecido en «mo» y un parámetro de «tipo» establecido en cualquier valor (por ejemplo, «origin=mo&type=xxx»). Esto hace que la solicitud se trate como una solicitud directa modular.
«Por lo tanto, tan pronto como el sitio ya se haya conectado a Modular (los tokens están presentes o son renovables), cualquiera puede pasar el middleware de autenticación: no hay ningún enlace criptográfico entre la solicitud entrante y el propio Modular», explicó Patchstack.
«Esto expone varias rutas, incluidas /login/, /server-information/, /manager/ y /backup/, que permiten realizar varias acciones, que van desde el inicio de sesión remoto hasta la obtención de datos confidenciales del sistema o del usuario».
Como resultado de este vacío legal, un atacante no autenticado puede aprovechar la ruta «/login/ {modular_request}» para obtener acceso de administrador, lo que resulta en una escalada de privilegios. Esto podría allanar el camino para comprometer completamente el sitio, lo que permitiría a un atacante introducir cambios malintencionados, crear malware o redirigir a los usuarios hacia estafas.
Según los detalles compartidos por la empresa de seguridad WordPress, se dice que los ataques que aprovechaban la falla se detectaron por primera vez el 13 de enero de 2026, alrededor de las 2 a.m. UTC, con llamadas HTTP GET al punto final «/api/modular-connector/login/» seguidas de intentos de crear un usuario administrador.
Los ataques se originaron en las siguientes direcciones IP -
En vista de la explotación activa de CVE-2026-23550, se recomienda a los usuarios del complemento que actualicen a una versión parcheada lo antes posible.
«Esta vulnerabilidad pone de relieve lo peligrosa que puede ser la confianza implícita en las rutas de solicitud internas cuando se expone a la Internet pública», afirma Patchstack.
«En este caso, el problema no se debió a un único error, sino a varias opciones de diseño combinadas: la coincidencia de rutas basada en URL, un modo de 'solicitud directa' permisivo, la autenticación basada únicamente en el estado de conexión del sitio y un flujo de inicio de sesión que vuelve automáticamente a una cuenta de administrador».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS