{"id":97,"date":"2026-01-19T15:50:02","date_gmt":"2026-01-19T14:50:02","guid":{"rendered":"https:\/\/helloblog.io\/fi\/modular-ds-kriittinen-haavoittuvuus-aktiivinen-hyvaksikaytto\/"},"modified":"2026-01-20T06:33:14","modified_gmt":"2026-01-20T05:33:14","slug":"modular-ds-kriittinen-haavoittuvuus-aktiivinen-hyvaksikaytto","status":"publish","type":"post","link":"https:\/\/helloblog.io\/fi\/modular-ds-kriittinen-haavoittuvuus-aktiivinen-hyvaksikaytto\/","title":{"rendered":"Modular DS -lis\u00e4osan kriittinen haavoittuvuus on aktiivisessa hyv\u00e4ksik\u00e4yt\u00f6ss\u00e4: mit\u00e4 WordPress-yll\u00e4pit\u00e4j\u00e4n kannattaa tehd\u00e4 nyt"},"content":{"rendered":"\n

WordPress-sivuston yll\u00e4pit\u00e4j\u00e4n pahin painajainen on tilanne, jossa hy\u00f6kk\u00e4\u00e4j\u00e4 saa yll\u00e4pit\u00e4j\u00e4n oikeudet ilman mit\u00e4\u00e4n tunnuksia. Juuri t\u00e4st\u00e4 on nyt kyse Modular DS -lis\u00e4osan haavoittuvuudessa, jota Patchstackin mukaan hy\u00f6dynnet\u00e4\u00e4n aktiivisesti verkossa.<\/p>\n\n\n\n

Haavoittuvuus on merkitty tunnisteella CVE-2026-23550<\/code> ja sille on annettu maksimipisteet (CVSS 10.0). Se koskee Modular DS -lis\u00e4osan versioita 2.5.1 ja sit\u00e4 vanhempia, ja se on korjattu versiossa 2.5.2<\/strong>.<\/p>\n\n\n\n

Mik\u00e4 t\u00e4ss\u00e4 on olennaista: unauthenticated privilege escalation<\/h2>\n\n\n\n

Patchstack kuvaa ongelman unauthenticated privilege escalation<\/em> -tapauksena: hy\u00f6kk\u00e4\u00e4j\u00e4 voi nostaa oikeutensa yll\u00e4pit\u00e4j\u00e4ksi ilman kirjautumista. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 tarkoittaa, ett\u00e4 jos hy\u00f6kk\u00e4\u00e4j\u00e4 p\u00e4\u00e4see k\u00e4ynnist\u00e4m\u00e4\u00e4n lis\u00e4osan tietyn login-flown, lopputuloksena voi olla admin-sessio tai mahdollisuus luoda uusi yll\u00e4pit\u00e4j\u00e4.<\/p>\n\n\n\n

Modular DS altistaa omat reittins\u00e4 (routes) polun \/api\/modular-connector\/<\/code> alle. N\u00e4iden reittien on tarkoitus olla suojattuja autentikointikerroksella, mutta toteutuksessa on Patchstackin mukaan suunnitteluratkaisujen yhdistelm\u00e4, joka mahdollistaa suojauksen ohittamisen tietyss\u00e4 tilassa.<\/p>\n\n\n\n

Miten suojaus ohitetaan (korkean tason kuvaus)<\/h2>\n\n\n\n

Haavoittuvuuden ydin liittyy lis\u00e4osan reititysmekanismiin ja niin sanottuun “direct request” -tilaan. Kun t\u00e4m\u00e4 tila on k\u00e4yt\u00f6ss\u00e4, pyynt\u00f6 voidaan saada n\u00e4ytt\u00e4m\u00e4\u00e4n Modularin omalta suorapyynn\u00f6lt\u00e4 pelkill\u00e4 URL-parametreilla \u2013 erityisesti kun origin<\/code> asetetaan arvoon mo<\/code> ja type<\/code> annetaan joksikin arvoksi.<\/p>\n\n\n\n

\n\n

Miksi t\u00e4m\u00e4 on niin vaarallinen yhdistelm\u00e4<\/h4>\n\n\n

Patchstackin mukaan autentikointi nojaa liikaa siihen, ett\u00e4 sivusto on jo “yhdistetty” Modulariin (tokenit olemassa \/ uusittavissa), eik\u00e4 saapuvan pyynn\u00f6n ja Modular-palvelun v\u00e4lill\u00e4 ole kryptografista sidosta. T\u00e4ll\u00f6in ulkoverkosta tuleva pyynt\u00f6 voi l\u00e4p\u00e4ist\u00e4 auth-middleware-k\u00e4sittelyn.<\/p>\n\n<\/div>\n\n\n\n

Kun auth-kerros ohitetaan, n\u00e4kyviin j\u00e4\u00e4 useita reittej\u00e4, kuten \/login\/<\/code>, \/server-information\/<\/code>, \/manager\/<\/code> ja \/backup\/<\/code>. Patchstack nostaa esiin, ett\u00e4 n\u00e4iden kautta voidaan tehd\u00e4 toimintoja et\u00e4kirjautumisesta aina arkaluonteisen j\u00e4rjestelm\u00e4- tai k\u00e4ytt\u00e4j\u00e4datan hakemiseen.<\/p>\n\n\n\n

Milt\u00e4 hy\u00f6kk\u00e4ykset n\u00e4ytt\u00e4v\u00e4t lokissa<\/h2>\n\n\n\n

Patchstackin mukaan hyv\u00e4ksik\u00e4ytt\u00f6\u00e4 havaittiin ensimm\u00e4isen kerran 13.1.2026 noin klo 02:00 UTC. Havainnot liittyiv\u00e4t HTTP GET -kutsuihin endpointiin \/api\/modular-connector\/login\/<\/code>, mink\u00e4 j\u00e4lkeen yritettiin luoda uusi admin-k\u00e4ytt\u00e4j\u00e4.<\/p>\n\n\n\n

Raportissa mainitut hy\u00f6kk\u00e4ysliikenteeseen yhdistetyt IP-osoitteet ovat:<\/p>\n\n\n\n