У популярному плагіні Modular DS для WordPress виявлено критичну уразливість CVE-2026-23550, яка вже активно експлуатується зловмисниками. Помилка дозволяє отримати повний адміністративний доступ до сайту без будь-якої автентифікації і стосується всіх версій плагіна до 2.5.1 включно. За шкалою CVSS уразливість оцінено на 10.0/10, тобто вона має максимальний рівень критичності.
Масштаб ризику: понад 40 000 сайтів WordPress під потенційною атакою
За даними розробників, плагін Modular DS встановлено більш ніж на 40 000 WordPress-сайтів. Він відповідає за інтеграцію з зовнішньою платформою Modular та автоматизацію адміністративних процесів, тому працює з розширеними правами в межах CMS.
Саме широкі привілеї плагіна перетворюють уразливість CVE-2026-23550 на системний ризик: компрометація компоненту фактично означає повний контроль над сайтом. З огляду на те, що експлуатація не вимагає облікового запису, це типовий приклад неавтентифікованої ескалації привілеїв (unauthenticated privilege escalation) — одного з найбільш цінних типів уразливостей для кіберзлочинців.
Технічний розбір CVE-2026-23550: обхід автентифікації через API Modular DS
За інформацією компанії Patchstack, яка спеціалізується на безпеці WordPress, проблема пов’язана з помилками в реалізації кастомного механізму маршрутизації, що розширює можливості фреймворка Laravel всередині плагіна. Стандартно чутливі API-маршрути публікуються під префіксом /api/modular-connector/ і мають бути захищені перевіркою автентифікації.
У Modular DS реалізовано так званий режим «прямого запиту» (direct request mode), який мав би довіряти тільки запитам від платформи Modular. Однак дослідники виявили, що цей режим можна активувати простим додаванням до HTTP-запиту параметрів origin=mo і довільного параметра type (наприклад, type=xxx).
Ключова проблема полягає в тому, що між вхідним запитом і реальною платформою Modular немає жодного криптографічного зв’язку: не використовується підпис, токен чи інший надійний механізм верифікації джерела. У результаті будь-хто, хто знає формат запиту, може змусити плагін сприймати його як «довірений» і обійти автентифікацію, отримавши доступ до захищених ендпоінтів.
Які ендпоінти вразливі та які дії можливі після злому
Експлуатація CVE-2026-23550 відкриває несанкціонований доступ до низки критично важливих маршрутів API плагіна:
/login//server-information//manager//backup/
Через ці ендпоінти атакувальник може отримати інформацію про сервер, конфігурацію сайту та користувачів, а також змінювати налаштування. Найнебезпечнішим є маршрут /login/{modular_request}, оскільки його успішна експлуатація дозволяє неавтентифікованому користувачу увійти в WordPress з правами адміністратора.
Після отримання адмін-доступу зловмисник може повністю контролювати WordPress-сайт: вбудовувати шкідливий код у теми та плагіни, розміщувати малварь, створювати приховані облікові записи, змінювати контент і перенаправляти трафік на фішингові або шахрайські ресурси. Подібні сценарії регулярно описуються в аналітиці OWASP та звітах провідних постачальників засобів веб-безпеки.
Реальні атаки на Modular DS: індикатори компрометації та підозрілий трафік
За даними дослідників, цілеспрямовані атаки на уразливість CVE-2026-23550 почали фіксуватися вже з 13 січня 2026 року. Зловмисники надсилали HTTP GET-запити до /api/modular-connector/login/ із зазначеними параметрами origin та type, після чого намагалися створити нового адміністратора.
Частина атачних кампаній виходила з IP-адрес 45.11.89[.]19 та 185.196.0[.]11. На скомпрометованих сайтах виявляли обліковий запис адміністратора з логіном backup та адресами електронної пошти [email protected] або [email protected]. Такі артефакти рекомендується розглядати як ключові індикатори компрометації (IoC).
Оновлення Modular DS 2.5.2 та практичні кроки із захисту WordPress-сайту
Розробники Modular DS оперативно випустили версію 2.5.2, у якій виправили помилки в кастомному шарі маршрутизації. Логіку відповідності маршрутів посилили, щоб спеціально сформовані запити більше не могли досягати захищених ендпоінтів без коректної перевірки автентифікації.
Адміністраторам WordPress, які використовують Modular DS, необхідно якомога швидше оновитися до версії 2.5.2 або новішої і додатково виконати такі дії:
- Перевірити список користувачів WordPress на предмет появи нових адміністраторів, особливо з логіном
backupта згаданими e-mail-адресами. - Проаналізувати журнали веб-сервера та безпекових рішень на наявність запитів до
/api/modular-connector/login/та інших маршрутів плагіна з підозрілими параметрамиoriginіtype. - У разі виявлення ознак зламу змінити всі адміністративні паролі, примусово завершити активні сесії та провести повне сканування сайту на наявність шкідливого коду.
- Розглянути впровадження веб-фаєрвола (WAF), здатного фільтрувати аномальні запити до REST API WordPress та плагінів.
Історія з CVE-2026-23550 у плагіні Modular DS ще раз демонструє, наскільки небезпечними можуть бути помилки в маршрутизації та механізмах автентифікації в розширеннях для WordPress. Своєчасне оновлення плагінів, регулярний моніторинг логів, використання WAF і зменшення кількості сторонніх модулів до дійсно необхідного мінімізують ризик повного захоплення сайту. Власникам і адміністраторам варто не відкладати оновлення Modular DS, перевірити проєкти на індикатори компрометації та переглянути підхід до кібербезпеки як до безперервного процесу, а не одноразової дії.
