Preskoči na sadržaj
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
Kritična ranjivost u WordPress pluginu Modular DS aktivno se zloupotrebljava za admin pristup (CVE-2026-23550)
Hannah Turing
Hannah Turing 2026. January 19. · 4 min read

Kritična ranjivost u WordPress pluginu Modular DS aktivno se zloupotrebljava za admin pristup (CVE-2026-23550)

sigurnost cve patch management ranjivosti sigurnost wordpress

Patchstack je prijavio da se kritična ranjivost u WordPress pluginu Modular DS aktivno iskorištava “u divljini”. Riječ je o CVE-2026-23550 s maksimalnim CVSS 10.0, a scenarij napada je posebno neugodan: napadač bez ikakve autentikacije može eskalirati privilegije i doći do administratorskog pristupa.

Problem pogađa sve verzije do i uključujući 2.5.1, a zakrpa je objavljena u 2.5.2. Prema navodima, plugin ima više od 40.000 aktivnih instalacija, što ga čini vrlo privlačnom metom za automatizirane skenere i masovne kampanje.

Što se točno događa: neautenticirana eskalacija privilegija kroz routing

U osnovi, greška je u načinu na koji plugin rješava routing (usmjeravanje) prema internim API rutama. Plugin izlaže svoje rute pod prefiksom "/api/modular-connector/" i pokušava osjetljive rute staviti iza autentikacijskog sloja (middleware).

Međutim, Patchstack opisuje kombinaciju dizajnerskih odluka koje u praksi otvaraju vrata zaobilasku zaštite: previše permisivan matching ruta, mogućnost tzv. “direct request” moda, i logika koja povjerenje temelji na tome je li web već spojen na Modular (npr. postoje tokeni koji se mogu obnavljati), bez kriptografske veze između dolaznog zahtjeva i stvarnog Modular servisa.

Kako se zaobilazi zaštita (u kratkim crtama)

Prema objavljenim detaljima, zaštitni sloj se može zaobići kad je omogućen “direct request” način, tako da se u zahtjev doda:

  • parametar origin postavljen na mo
  • parametar type postavljen na bilo koju vrijednost (npr. xxx)

Takav zahtjev plugin tretira kao Modular “direct request”, što omogućuje prolaz kroz auth middleware u situaciji kad je web već ranije povezan s Modularom.

Zašto je ovo opasno

Ovdje se ne radi o klasičnom “bugu u jednoj liniji”, nego o lancu odluka: URL-based route matching, permisivan direct mode, autentikacija vezana uz stanje konekcije weba i login flow koji može završiti auto-loginom u admin kontekst.

Koje rute su izložene i što napadač dobiva

Patchstack navodi da propust otvara više ruta koje mogu odraditi vrlo osjetljive operacije, uključujući:

  • /login/ (daljinski login tok)
  • /server-information/ (potencijalno osjetljive informacije o sustavu)
  • /manager/
  • /backup/

Najkritičniji dio je da napadač može iskoristiti rutu "/login/{modular_request}" kako bi došao do administratorskog pristupa, što onda otvara put punoj kompromitaciji: ubacivanje zlonamjernih promjena, postavljanje malwarea, preusmjeravanje korisnika na prijevare i slično.

Indikatori napada (što tražiti u logovima)

Prema Patchstacku, napadi su prvi put detektirani 13. siječnja 2026. oko 02:00 UTC, i uključivali su HTTP GET pozive prema endpointu "/api/modular-connector/login/", nakon čega su slijedili pokušaji kreiranja admin korisnika.

U izvještaju su spomenute i IP adrese s kojih su dolazili napadi (korisno za brzu korelaciju u WAF-u / access logovima):

  • 45.11.89[.]19
  • 185.196.0[.]11

Što napraviti odmah (prioriteti sanacije)

  1. Ažuriraj Modular DS na verziju 2.5.2 (ili noviju) što je prije moguće.
  2. Provjeri imaš li neočekivane admin korisnike (posebno one kreirane u zadnje vrijeme) i auditiraj promjene privilegija.
  3. Pregledaj access logove/WAF događaje za zahtjeve prema "/api/modular-connector/login/" i sumnjive kombinacije parametara origin/type.
  4. Ako sumnjaš na kompromitaciju, napravi korake koje preporučuje Modular DS: regeneriraj WordPress salts (poništava postojeće sesije), regeneriraj OAuth credentials, te skeniraj web za zlonamjerne plugine/datoteke/kod.

Praktična napomena za timove

Ako održavaš više WP instanci, ovo je dobar kandidat za “fleet” update (bulk), uz paralelnu provjeru korisnika i brzi grep po logovima za /api/modular-connector/ zahtjeve.

Kontekst za developere: zašto routing sloj može biti najslabija karika

Održavatelji plugina naveli su da je ranjivost bila u custom routing layeru koji proširuje Laravelovu funkcionalnost matchanja ruta. Kad se u WordPress pluginu implementira vlastiti mini-framework za rute, lako se dogodi da pravila matchanja postanu preširoka, a autentikacija se veže uz “state” (npr. site je povezan) umjesto uz čvrstu verifikaciju svakog zahtjeva.

U takvim integracijama je posebno rizično imati “internal” putanje koje su zapravo izložene javnom internetu, a zatim ih štititi implicitnim povjerenjem (npr. parametarima u URL-u) umjesto kriptografski potpisanim zahtjevima i striktno definiranom autorizacijom po ruti.

Sažetak

  • CVE-2026-23550 (CVSS 10.0) pogađa Modular DS do 2.5.1 i omogućuje neautenticiran admin pristup.
  • Eksploatacija je aktivna; uočeni su zahtjevi prema /api/modular-connector/login/ i pokušaji kreiranja admin korisnika.
  • Rješenje je update na 2.5.2 (ili novije) i brza provjera kompromitacije: korisnici, logovi, salts, OAuth, skeniranje datoteka.

Reference / Izvori

Hannah Turing

Hannah Turing

WordPress programerka i tehnička spisateljica u HelloWP-u. Pomažem programerima graditi bolje web stranice s modernim alatima poput Laravela, Tailwind CSS-a i WordPress ekosustava. Strastvena sam prema čistom kodu i iskustvu programera.

Svi članci

Više od Hannah Turing

Automatizacija WordPress formi s n8n + WPForms: od prijave do workflowa bez ručnog copy/pastea Automatizacija WordPress formi s n8n + WPForms: od prijave do workflowa bez ručnog copy/pastea Astro ulazi u Cloudflare: što to znači za framework, open source i Astro 6 Astro ulazi u Cloudflare: što to znači za framework, open source i Astro 6 Divi 5 dobiva službeni datum izlaska: što to znači za tvoje WordPress projekte Divi 5 dobiva službeni datum izlaska: što to znači za tvoje WordPress projekte

Pridružite se HelloWP zajednici!

Razgovarajte s nama o WordPressu, web razvoju i podijelite iskustva s drugim developerima.

- članovi
- online
Pridruži se

We use cookies to improve your experience. By continuing, you agree to our Cookie Policy.