{"id":120,"date":"2026-01-19T15:50:12","date_gmt":"2026-01-19T14:50:12","guid":{"rendered":"https:\/\/helloblog.io\/fr\/faille-critique-modular-ds-escalade-privileges-acces-admin-wordpress\/"},"modified":"2026-01-20T06:32:40","modified_gmt":"2026-01-20T05:32:40","slug":"faille-critique-modular-ds-escalade-privileges-acces-admin-wordpress","status":"publish","type":"post","link":"https:\/\/helloblog.io\/fr\/faille-critique-modular-ds-escalade-privileges-acces-admin-wordpress\/","title":{"rendered":"Faille critique dans Modular DS : une escalade de privil\u00e8ges WordPress exploit\u00e9e pour obtenir un acc\u00e8s admin"},"content":{"rendered":"\n

Une alerte \u00e0 prendre tr\u00e8s au s\u00e9rieux circule dans l\u2019\u00e9cosyst\u00e8me WordPress : le plugin Modular DS<\/strong> (plus de 40 000 installations actives) est touch\u00e9 par une faille d\u2019escalade de privil\u00e8ges non authentifi\u00e9e<\/strong> qui permet, dans certaines conditions, de finir avec un acc\u00e8s administrateur<\/strong> sur le site. Patchstack indique que la vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e<\/strong> dans la nature.<\/p>\n\n\n\n

Le point cl\u00e9 : ce n\u2019est pas un simple bug isol\u00e9, mais un encha\u00eenement de choix d\u2019architecture dans le m\u00e9canisme de routage et une logique de \u201cdirect request\u201d trop permissive, combin\u00e9s \u00e0 un flux de login capable de basculer automatiquement sur un compte admin.<\/p>\n\n\n\n

Ce qui est vuln\u00e9rable (CVE, versions, s\u00e9v\u00e9rit\u00e9)<\/h2>\n\n\n\n

La vuln\u00e9rabilit\u00e9 est r\u00e9f\u00e9renc\u00e9e CVE-2026-23550<\/strong> avec un score CVSS 10.0<\/strong>. Elle affecte toutes les versions jusqu\u2019\u00e0 2.5.1 inclus<\/strong> et a \u00e9t\u00e9 corrig\u00e9e en 2.5.2<\/strong> (release de s\u00e9curit\u00e9 c\u00f4t\u00e9 \u201cModular Connector\u201d).<\/p>\n\n\n\n

\n\n

Impact concret<\/h4>\n\n\n

Un attaquant non authentifi\u00e9 peut obtenir un acc\u00e8s administrateur (privilege escalation), ce qui ouvre la porte \u00e0 une compromission compl\u00e8te : modification de contenu, ajout de backdoors, d\u00e9p\u00f4t de malware, redirections vers des pages de phishing, etc.<\/p>\n\n<\/div>\n\n\n\n

Origine du probl\u00e8me : routage et \u201cdirect request\u201d mal verrouill\u00e9s<\/h2>\n\n\n\n

Modular DS expose des routes sous le pr\u00e9fixe \/api\/modular-connector\/<\/code><\/strong>. Le plugin est cens\u00e9 placer certaines routes sensibles derri\u00e8re une barri\u00e8re d\u2019authentification (middleware). Patchstack explique n\u00e9anmoins qu\u2019il existe un sc\u00e9nario de contournement lorsque le mode \u201cdirect request\u201d<\/strong> est activ\u00e9.<\/p>\n\n\n\n

Dans ce mode, il suffirait d\u2019envoyer une requ\u00eate avec des param\u00e8tres qui font passer l\u2019appel pour une requ\u00eate \u201cdirecte\u201d provenant de Modular, notamment via un couple de param\u00e8tres du type : origin=mo<\/code> et type=<\/code>. \u00c0 partir de l\u00e0, la couche de protection peut \u00eatre court-circuit\u00e9e.<\/p>\n\n\n\n

\n\n

Pourquoi c\u2019est dangereux<\/h4>\n\n\n

Le contournement repose sur un manque de liaison cryptographique entre la requ\u00eate entrante et un appel r\u00e9ellement \u00e9mis par Modular. En clair : l\u2019API fait confiance \u00e0 des marqueurs de requ\u00eate trop faciles \u00e0 falsifier.<\/p>\n\n<\/div>\n\n\n\n

Routes expos\u00e9es et actions possibles<\/h3>\n\n\n\n

Selon Patchstack, ce bypass ouvre l\u2019acc\u00e8s \u00e0 plusieurs routes, dont notamment : \/login\/<\/code><\/strong>, \/server-information\/<\/code><\/strong>, \/manager\/<\/code><\/strong> et \/backup\/<\/code><\/strong>. Les cons\u00e9quences vont de la connexion \u00e0 distance \u00e0 l\u2019exposition d\u2019informations syst\u00e8me et de donn\u00e9es utilisateur.<\/p>\n\n\n\n

Le sc\u00e9nario le plus critique est l\u2019exploitation de la route \/login\/{modular_request}<\/code><\/strong>, qui permettrait d\u2019obtenir un acc\u00e8s administrateur sans authentification pr\u00e9alable.<\/p>\n\n\n\n

Signaux d\u2019exploitation observ\u00e9s<\/h2>\n\n\n\n

Patchstack indique que les attaques ont \u00e9t\u00e9 d\u00e9tect\u00e9es \u00e0 partir du 13 janvier 2026 vers 02:00 UTC<\/strong>, avec des appels HTTP GET<\/strong> vers l\u2019endpoint \/api\/modular-connector\/login\/<\/code><\/strong>, suivis de tentatives de cr\u00e9ation d\u2019un utilisateur administrateur.<\/p>\n\n\n\n

Deux adresses IP sont cit\u00e9es comme sources d\u2019activit\u00e9 :<\/p>\n\n\n\n