Según Patchstack, se está explotando una falla de seguridad de máxima gravedad en un complemento de WordPress llamado Modular DS.
Esta vulnerabilidad se rastrea como CVE-2026-23550 (puntuación CVSS: 10.0) y se describe como un caso de escalada de privilegios no autenticado que afecta a todas las versiones del complemento anteriores a la 2.5.1. La versión 2.5.2 está parcheada. Este complemento tiene más de 40.000 instalaciones activas.
«Por debajo de la versión 2.5.1, el complemento es vulnerable a la escalada de privilegios debido a una combinación de factores, incluida la selección de ruta directa, eludir los mecanismos de autenticación y el inicio de sesión automático como administrador», dijo Patchstack.
La causa de este problema es un mecanismo de enrutamiento diseñado para poner ciertas rutas confidenciales detrás de barreras de autenticación. El complemento expone sus rutas con el prefijo «/api/modular-connector/».
Sin embargo, se ha descubierto que al establecer el parámetro «origen» en «mo» y el parámetro «tipo» en cualquier valor (por ejemplo, «origin=mo&type=xxx»), esta capa de seguridad se puede omitir siempre que se habiliten las «solicitudes directas». Esto hace que la solicitud se trate como una solicitud directa modular.
«Entonces, una vez que un sitio ya está conectado a Modular (el token existe/puede actualizarse), cualquiera puede pasar a través del middleware de autenticación. No existe un vínculo criptográfico entre las solicitudes entrantes y el propio Modular», explicó Patchstack.
«Esto expone múltiples rutas, como /login/, /server-information/, /manager/ y /backup/, lo que permite realizar una variedad de acciones, desde inicios de sesión remotos hasta la recuperación de datos confidenciales del sistema y del usuario».
Esta laguna jurídica podría permitir que un atacante no autenticado obtenga acceso administrativo abusando de la ruta «/login/{modular_request}», lo que resultaría en una escalada de privilegios. Esto abre el camino para que todo el sitio se vea comprometido, lo que permite a los atacantes introducir cambios maliciosos, organizar malware o redirigir a los usuarios a estafas.
Según los detalles compartidos por la empresa de seguridad de WordPress, se dijo que un ataque que explotaba esta falla se detectó por primera vez el 13 de enero de 2026 aproximadamente a las 2:00 a. m. UTC a través de una llamada HTTP GET al punto final «/api/modular-connector/login/» seguido de un intento de crear un usuario administrador.
El ataque se originó desde la siguiente dirección IP:
Dada la explotación activa de CVE-2026-23550, recomendamos que los usuarios del complemento actualicen a una versión parcheada lo antes posible.
«Esta vulnerabilidad resalta cuán peligrosa puede ser la confianza implícita en las rutas de solicitud internas cuando se expone a la Internet pública», dijo Patchstack.
«En este caso, el problema no fue causado por un solo error, sino más bien por una combinación de varias opciones de diseño, incluida la coincidencia de rutas basada en URL, un modo de ‘solicitud directa’ permisivo, autenticación basada únicamente en el estado de conectividad del sitio y un flujo de inicio de sesión que automáticamente recurre a una cuenta de administrador. «
Source link
