Критическая уязвимость с максимальным баллом CVSS 10.0 обнаружена в плагине Modular DS для WordPress, позволяющая неаутентифицированному злоумышленнику получить полный административный доступ. Исследователи подтвердили активную эксплуатацию ошибки CVE-2026-23550 в версиях до 2.5.1. Выпущено обновление 2.5.2.
Исследователи в области безопасности подтвердили активную эксплуатацию критической уязвимости, связанной с повышением привилегий, в широко используемом плагине Modular DS — инструменте, предназначенном для мониторинга, обновления и управления множеством сайтов на WordPress из единой консоли.
Эта ошибка, отслеживаемая как CVE-2026-23550, получила максимальную оценку CVSS 10.0 из-за способности позволить неаутентифицированному злоумышленнику получить полный административный доступ к тысячам уязвимых сайтов.
Уязвимость, раскрытая компанией Patchstack, специализирующейся на безопасности WordPress, затрагивает версии Modular DS 2.5.1 и более ранние. Она позволяет атакующим повысить свои привилегии без учетных данных, обращаясь к определенным маршрутам API, которые не были защищены логикой маршрутизации плагина.
Эксплуатация этой уязвимости уже была зафиксирована в реальных атаках, некоторые из которых привели к получению сессий администратора WordPress до того, как для пользователей стало доступно исправление.
Успешная эксплуатация дает права администратора
Суть уязвимости кроется в том, как Modular DS обрабатывает внутренние запросы. Плагин предоставляет набор маршрутов в стиле REST под префиксом «/api/modular-connector/», которые должны были быть защищены промежуточным ПО аутентификации. Однако из-за недосмотра в логике обработки маршрутов, а именно в механизме isDirectRequest(), определенные запросы полностью обходят аутентификацию при наличии специфических параметров.
Это означает, что злоумышленник, способный обратиться к затронутому конечному пункту, может одним специально сформированным запросом заставить плагин воспринять его как легитимное аутентифицированное подключение к сайту. Это, в свою очередь, открывает доступ к конфиденциальным маршрутам, включая /login/, предоставляя мгновенные права администратора или возможность перечислять пользователей и данные сайта без необходимости ввода пароля.
Modular DS представляет собой платформу для управления сайтами — именно тот инструмент, который многие агентства и разработчики используют для экономии времени при администрировании своих ресурсов на WordPress. Дефектная логика в механизмах маршрутизации и аутентификации плагина подвергает всех его пользователей потенциальным атакам.
Меры по смягчению последствий
Хорошая новость заключается в том, что исправление уже выпущено. Разработчик плагина выпустил версию Modular DS 2.5.2 14 января 2026 года, незамедлительно после подтверждения уязвимости и присвоения ей идентификатора CVE. Patchstack также опубликовала правила для смягчения последствий, которые могут заблокировать эксплуатацию, если их применить до установки патча.
«В версии 2.5.1 маршрут сначала сопоставлялся на основе URL, контролируемого атакующим», — заявили исследователи Patchstack в посте в блоге. «В версии 2.5.2 сопоставление маршрутов по URL было удалено. Маршрутизатор больше не сопоставляет маршруты для этой подсистемы на основе запрошенного пути, и выбор маршрута теперь полностью определяется логикой фильтрации».
Тем не менее, более 40 000 инсталляций WordPress остаются под угрозой, если они не обновились. Поскольку атака не требует аутентификации или даже взаимодействия с пользователем, любой общедоступный сайт, использующий уязвимую версию плагина, может быть скомпрометирован автоматически с помощью сканирующих и эксплойт-инструментов.
Исследователи отметили, что признаки эксплуатации появились еще 13 января, что свидетельствует о том, что злоумышленники начали сканирование веба еще до того, как было опубликовано официальное предупреждение.
«Версия 2.5.2 плагина Modular DS Connector включает важное исправление безопасности, устраняющее критическую уязвимость», — говорится в сообщении разработчика. «Мы настоятельно рекомендуем всем пользователям Modular DS убедиться, что они как можно скорее перешли на эту версию». Помимо обновления, пользователи могут предпринять несколько шагов для защиты: проверить наличие несанкционированных учетных записей администратора, усилить меры безопасности WordPress, внедрив двухфакторную аутентификацию (2FA) и ограничения по IP-адресам.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma