В одном из популярных плагинов для WordPress — Modular DS — обнаружена критическая уязвимость, которая уже активно используется злоумышленниками для атак на боевые сайты. Ошибка позволяет получить административный доступ без какой-либо аутентификации и затрагивает все версии плагина до 2.5.1 включительно. Уязвимости присвоен идентификатор CVE-2026-23550, её оценка по шкале CVSS составляет 10.0 из 10, что соответствует максимальному уровню критичности.
Масштаб проблемы: сколько сайтов под угрозой
По данным разработчиков, плагин Modular DS для WordPress установлен более чем на 40 000 сайтов. Плагин используется для интеграции сайта с внешней платформой Modular и автоматизации ряда административных задач. Именно эта тесная интеграция и широкий спектр прав, которыми располагает плагин, делают обнаруженную уязвимость особенно опасной: компрометация плагина фактически означает компрометацию всего сайта.
Поскольку для эксплуатации не требуется валидная учётная запись, уязвимость относится к категории unauthenticated privilege escalation — эскалация привилегий без аутентификации. Такие баги традиционно относятся к наиболее востребованным среди киберпреступников, поскольку позволяют массово автоматизировать атаки и захватывать сайты с минимальными затратами.
Технические детали: ошибка в маршрутизации и обход проверки аутентификации
Эксперты компании Patchstack, специализирующейся на защите WordPress, связывают уязвимость с ошибками в реализации механизма маршрутизации плагина. В нормальной ситуации доступ к чувствительным маршрутам API должен быть защищён проверкой аутентификации, а сами маршруты публикуются через префикс /api/modular-connector/.
Однако в плагине реализован так называемый режим «прямого запроса» (direct request mode), который можно обойти достаточно простой манипуляцией с параметрами HTTP-запроса. Исследователи обнаружили, что злоумышленнику достаточно добавить к запросу параметры origin=mo и произвольный параметр type (например, type=xxx), чтобы запрос был воспринят как «доверенный» прямой запрос от самой платформы Modular.
Критическая проблема заключается в том, что между входящим запросом и реальной платформой Modular отсутствует криптографическая связь — нет подписи, токена или иного надёжного механизма подтверждения подлинности источника. В результате любой, кто знает формат запроса, может обойти проверку аутентификации и получить доступ к защищённым эндпоинтам.
Какие эндпоинты под ударом и чем это грозит
Уязвимость открывает несанкционированный доступ к нескольким критически важным маршрутам API:
/login//server-information//manager//backup/
Через них атакующие могут удалённо войти в систему, получить конфиденциальную информацию о сервере и пользователях, а также управлять настройками сайта. Наибольшую опасность представляет маршрут /login/{modular_request}: его эксплуатация позволяет неаутентифицированному злоумышленнику получить права администратора WordPress.
Получив админ-доступ, нападающий может полностью контролировать сайт: внедрять вредоносный код в темы и плагины, размещать малварь, создавать скрытые учётные записи, подменять контент и перенаправлять трафик на фишинговые или мошеннические ресурсы. Подобные сценарии регулярно фиксируются в инцидентах, связанных с компрометацией плагинов и тем WordPress, и хорошо описаны в отчётах отраслевых организаций, таких как OWASP и ведущие поставщики средств веб-безопасности.
Атаки в реальном мире: первые инциденты и индикаторы компрометации
По данным исследователей, первые целенаправленные атаки на уязвимость CVE-2026-23550 были зафиксированы 13 января 2026 года. Злоумышленники отправляли HTTP GET-запросы на эндпоинт /api/modular-connector/login/ с нужными параметрами, а затем предпринимали попытки создать новую учётную запись администратора.
Трафик атак исходил, в частности, с IP-адресов 45.11.89[.]19 и 185.196.0[.]11. На взломанных сайтах исследователи обнаруживали созданного злоумышленниками пользователя с правами администратора, как правило, с именем backup и адресами электронной почты [email protected] или [email protected]. Эти признаки рекомендуется рассматривать как важные индикаторы компрометации (IoC).
Исправление уязвимости и рекомендации по защите
Разработчики Modular DS оперативно выпустили обновление, устраняющее проблему в кастомном слое маршрутизации, который расширял функциональность фреймворка Laravel внутри плагина. Как отмечают авторы, логика сопоставления маршрутов была реализована слишком «мягко» и позволяла специально сформированным запросам достигать защищённых эндпоинтов, обходя проверку аутентификации.
Исправление включено в версию Modular DS 2.5.2. Всем администраторам WordPress-сайтов, использующим данный плагин, настоятельно рекомендуется как можно скорее обновиться до актуальной версии. Помимо установки патча, специалисты советуют выполнить несколько дополнительных шагов по проверке безопасности:
- Проверить список пользователей WordPress на предмет появления новых администраторов, особенно с логином
backupи указанными выше e-mail. - Проанализировать журналы веб-сервера и логов безопасности на наличие запросов к
/api/modular-connector/login/и другим маршрутам плагина с подозрительными параметрамиoriginиtype. - При выявлении признаков взлома сменить все административные пароли, принудительно завершить активные сессии и выполнить полную проверку сайта на наличие вредоносного кода.
- Рассмотреть использование веб-фаервола (WAF), способного фильтровать аномальные запросы к REST API WordPress и плагинам.
Ситуация с уязвимостью CVE-2026-23550 в плагине Modular DS наглядно показывает, насколько серьёзные риски несут ошибки в маршрутизации и проверке аутентификации в расширениях для WordPress. Владельцам и администраторам сайтов важно не только своевременно устанавливать обновления плагинов, но и регулярно мониторить логи, использовать WAF и минимизировать количество сторонних модулей до действительно необходимых. Чем быстрее будут установлены обновления и проведена проверка на компрометацию, тем выше шансы предотвратить захват сайта и связанные с этим финансовые и репутационные потери.
