{"id":97,"date":"2026-01-19T15:50:09","date_gmt":"2026-01-19T14:50:09","guid":{"rendered":"https:\/\/helloblog.io\/da\/kritisk-sarbarhed-modular-ds-wordpress-plugin-udnyttes-aktivt\/"},"modified":"2026-01-20T06:33:19","modified_gmt":"2026-01-20T05:33:19","slug":"kritisk-sarbarhed-modular-ds-wordpress-plugin-udnyttes-aktivt","status":"publish","type":"post","link":"https:\/\/helloblog.io\/da\/kritisk-sarbarhed-modular-ds-wordpress-plugin-udnyttes-aktivt\/","title":{"rendered":"Kritisk s\u00e5rbarhed i WordPress-plugin\u2019et Modular DS udnyttes aktivt: s\u00e5dan reducerer du risikoen nu"},"content":{"rendered":"\n

Der er kommet en alvorlig sag p\u00e5 WordPress-banen: plugin\u2019et Modular DS<\/strong> er ramt af en s\u00e5rbarhed med maksimal CVSS-score (10.0), og den bliver if\u00f8lge Patchstack udnyttet aktivt i naturen. S\u00e5rbarheden g\u00f8r det muligt for en angriber uden autentificering at eskalere privilegier og opn\u00e5 administratoradgang, hvilket i v\u00e6rste fald ender i fuld kompromittering af sitet.<\/p>\n\n\n\n

I det her indl\u00e6g f\u00e5r du et teknisk overblik over, hvad der g\u00e5r galt, hvem der er ramt, og hvilke konkrete skridt der giver mest effekt her og nu: opdatering, log-tjek og oprydning, hvis der allerede er tegn p\u00e5 indbrud.<\/p>\n\n\n\n

Hvad er det for en s\u00e5rbarhed?<\/h2>\n\n\n\n

S\u00e5rbarheden er registreret som CVE-2026-23550<\/strong> og beskrives som en unauthenticated privilege escalation<\/strong> \u2013 alts\u00e5 at en angriber kan f\u00e5 h\u00f8jere rettigheder (helt op til admin) uden at v\u00e6re logget ind. Patchstack angiver, at alle versioner til og med 2.5.1<\/strong> er p\u00e5virket, og at problemet er rettet i 2.5.2<\/strong>.<\/p>\n\n\n\n

Modular DS har if\u00f8lge kilden mere end 40.000 aktive installationer<\/strong>, s\u00e5 det er pr\u00e6cis den type issue, der hurtigt bliver et m\u00e5l for automatiserede scans og masseudnyttelse.<\/p>\n\n\n\n

Den tekniske kerne: routing + \u201cdirect request\u201d + implicit tillid<\/h2>\n\n\n\n

If\u00f8lge Patchstack ligger roden i plugin\u2019ets routing-lag (routing = mekanismen der matcher URL\u2019er\/paths til konkrete handlers). Plugin\u2019et eksponerer sine ruter under pr\u00e6fikset \"\/api\/modular-connector\/\"<\/code> og har designet en barriere, der skulle beskytte f\u00f8lsomme endpoints bag autentificering.<\/p>\n\n\n\n

Problemet opst\u00e5r, n\u00e5r plugin\u2019et ender i en tilstand, hvor \u201cdirect request\u201d-mode kan trigges via parametre i URL\u2019en. Patchstack beskriver, at sikkerhedslaget kan omg\u00e5s ved at sende en request med en origin<\/code>-parameter sat til mo<\/code> og en type<\/code>-parameter sat til en vilk\u00e5rlig v\u00e6rdi (fx origin=mo&type=xxx<\/code>). Det f\u00e5r requesten til at blive behandlet som en Modular \u201cdirect request\u201d.<\/p>\n\n\n\n

\n\n

Hvorfor er det farligt?<\/h4>\n\n\n

If\u00f8lge Patchstack er der ingen kryptografisk binding mellem den indkommende request og Modular som legitim afsender. N\u00e5r sitet allerede er forbundet (tokens findes\/kan fornyes), kan en angriber i praksis passere auth middleware og n\u00e5 beskyttede ruter.<\/p>\n\n<\/div>\n\n\n\n

Patchstack peger p\u00e5, at flere designvalg tilsammen g\u00f8r udfaldet kritisk: URL-baseret route matching, en for permissiv direct-request-tilstand, autentificering der kun afh\u00e6nger af \u201cconnection state\u201d, og et login-flow der kan falde tilbage til en administrator-konto.<\/p>\n\n\n\n

Hvilke endpoints eksponeres \u2013 og hvad kan angriberen g\u00f8re?<\/h2>\n\n\n\n

N\u00e5r auth-laget kan omg\u00e5s, bliver flere f\u00f8lsomme ruter tilg\u00e6ngelige. Patchstack n\u00e6vner bl.a. \"\/login\/\"<\/code>, \"\/server-information\/\"<\/code>, \"\/manager\/\"<\/code> og \"\/backup\/\"<\/code>. Konsekvensen sp\u00e6nder fra fjern-login til udl\u00e6sning af system- eller brugerdata.<\/p>\n\n\n\n

Den mest alvorlige del er, at en angriber kan udnytte ruten \"\/login\/{modular_request}\"<\/code> til at f\u00e5 administratoradgang<\/strong>, hvilket \u00e5bner for klassiske efterf\u00f8lgende angreb: \u00e6ndringer i tema\/plugins, indspr\u00f8jtning af malware, oprettelse af nye admin-brugere eller redirects til scam-sider.<\/p>\n\n\n\n

Aktiv udnyttelse: hvad ved vi?<\/h2>\n\n\n\n

Patchstack rapporterer, at udnyttelse blev observeret fra 13. januar 2026 omkring kl. 02:00 UTC<\/strong>, hvor angribere lavede HTTP GET-kald mod endpointet \"\/api\/modular-connector\/login\/\"<\/code> og derefter fors\u00f8gte at oprette en admin-bruger.<\/p>\n\n\n\n

De observerede angreb kom if\u00f8lge Patchstack fra bl.a. disse IP-adresser:<\/p>\n\n\n\n