{"id":209,"date":"2026-01-19T15:49:45","date_gmt":"2026-01-19T14:49:45","guid":{"rendered":"https:\/\/helloblog.io\/hu\/kritikus-modular-ds-sebezhetoseg-admin-jogosultsag\/"},"modified":"2026-01-20T06:32:32","modified_gmt":"2026-01-20T05:32:32","slug":"kritikus-modular-ds-sebezhetoseg-admin-jogosultsag","status":"publish","type":"post","link":"https:\/\/helloblog.io\/hu\/kritikus-modular-ds-sebezhetoseg-admin-jogosultsag\/","title":{"rendered":"Kritikus Modular DS b\u0151v\u00edtm\u00e9ny sebezhet\u0151s\u00e9get haszn\u00e1lnak ki: jogosults\u00e1geszkal\u00e1ci\u00f3val admin hozz\u00e1f\u00e9r\u00e9st szerezhetnek"},"content":{"rendered":"\n

A Patchstack friss riaszt\u00e1sa szerint akt\u00edvan kihaszn\u00e1lnak egy maxim\u00e1lis s\u00falyoss\u00e1g\u00fa (CVSS 10.0) sebezhet\u0151s\u00e9get a Modular DS<\/strong> WordPress-b\u0151v\u00edtm\u00e9nyben. A hiba l\u00e9nyege, hogy bejelentkez\u00e9s n\u00e9lk\u00fcl<\/strong> lehet jogosults\u00e1got emelni, \u00e9s a t\u00e1mad\u00f3 v\u00e9g\u00fcl admin szint\u0171 hozz\u00e1f\u00e9r\u00e9st<\/strong> szerezhet az oldalon.<\/p>\n\n\n\n

A s\u00e9r\u00fcl\u00e9kenys\u00e9g azonos\u00edt\u00f3ja CVE-2026-23550<\/strong>, \u00e9s a le\u00edr\u00e1s alapj\u00e1n minden 2.5.1-es vagy ann\u00e1l r\u00e9gebbi verzi\u00f3t<\/strong> \u00e9rint. A jav\u00edt\u00e1s a b\u0151v\u00edtm\u00e9ny 2.5.2-es<\/strong> kiad\u00e1s\u00e1ban \u00e9rhet\u0151 el. A cikkben v\u00e9gigvessz\u00fck, mi t\u00f6rt\u00e9nik technikailag, mi\u00e9rt k\u00fcl\u00f6n\u00f6sen vesz\u00e9lyes, \u00e9s milyen ellen\u0151rz\u00e9seket \u00e9rdemes azonnal lefuttatni.<\/p>\n\n\n\n

Mi\u00e9rt ekkora gond ez a CVE-2026-23550?<\/h2>\n\n\n\n

A klasszikus WordPress-es incidensek nagy r\u00e9sze valamilyen jogosults\u00e1gi hib\u00e1ra vezethet\u0151 vissza, de itt nem \u201ecsak\u201d arr\u00f3l van sz\u00f3, hogy egy bejelentkezett felhaszn\u00e1l\u00f3 t\u00f6bbet tud a kellet\u00e9n\u00e9l. A Patchstack \u00e9rt\u00e9kel\u00e9se szerint a Modular DS eset\u00e9ben unauthenticated privilege escalation<\/strong> t\u00f6rt\u00e9nik: a t\u00e1mad\u00f3nak nem kell felhaszn\u00e1l\u00f3i fi\u00f3k, m\u00e9gis eljuthat admin szerepk\u00f6rig.<\/p>\n\n\n\n

Ez az\u00e9rt kritikus, mert admin hozz\u00e1f\u00e9r\u00e9ssel tipikusan m\u00e1r teljes az \u00fat a kompromitt\u00e1l\u00e1sig: rosszindulat\u00fa b\u0151v\u00edtm\u00e9ny telep\u00edt\u00e9se, k\u00e1rt\u00e9kony k\u00f3d beilleszt\u00e9se, \u00e1tir\u00e1ny\u00edt\u00e1s adathal\u00e1sz oldalakra, vagy ak\u00e1r a felhaszn\u00e1l\u00f3k adatainak megszerz\u00e9se is re\u00e1lis forgat\u00f3k\u00f6nyv.<\/p>\n\n\n\n

A sebezhet\u0151s\u00e9g technikai h\u00e1ttere \u2013 r\u00f6viden, fejleszt\u0151i szemmel<\/h2>\n\n\n\n

A Modular DS a saj\u00e1t \u00fatvonalait (route-jait) az \/api\/modular-connector\/<\/code><\/strong> prefix alatt publik\u00e1lja. Norm\u00e1l esetben a b\u0151v\u00edtm\u00e9ny routing r\u00e9tege \u00fagy van kital\u00e1lva, hogy az \u00e9rz\u00e9keny v\u00e9gpontok (endpointok) csak egy hiteles\u00edt\u00e9si (auth) v\u00e9d\u0151r\u00e9tegen kereszt\u00fcl legyenek el\u00e9rhet\u0151k.<\/p>\n\n\n\n

A gond ott kezd\u0151dik, hogy van egy \u201edirect request\u201d m\u00f3d, amit a Patchstack szerint param\u00e9terekkel ki lehet k\u00e9nyszer\u00edteni<\/strong>. Ha a k\u00e9r\u00e9sben az origin<\/code> param\u00e9ter \u00e9rt\u00e9ke mo<\/code>, a type<\/code> pedig b\u00e1rmilyen \u00e9rt\u00e9k, a plugin a k\u00e9r\u00e9st Modular-f\u00e9le k\u00f6zvetlen k\u00e9r\u00e9sk\u00e9nt (direct request) kezeli, \u00e9s ezzel a v\u00e9delmi r\u00e9teg megker\u00fclhet\u0151.<\/p>\n\n\n\n

\n\n

A kritikus tervez\u00e9si probl\u00e9ma<\/h4>\n\n\n

A Patchstack le\u00edr\u00e1sa szerint nincs kriptogr\u00e1fiai k\u00f6t\u00e9s ak\u00f6z\u00f6tt, hogy a bej\u00f6v\u0151 k\u00e9r\u00e9s t\u00e9nyleg a Modular rendszert\u0151l j\u00f6n-e, \u00e9s ak\u00f6z\u00f6tt, hogy a site kor\u00e1bban \u00f6ssze lett-e k\u00f6tve (tokenek jelen vannak \/ meg\u00faj\u00edthat\u00f3k). Ha a kapcsolat m\u00e1r \u201e\u00e9l\u201d, a middleware \u00e1tugorhat\u00f3.<\/p>\n\n<\/div>\n\n\n\n

A c\u00e9g kiemeli, hogy ez nem egyetlen apr\u00f3 \u201eif\u201d hiba k\u00f6vetkezm\u00e9nye, hanem t\u00f6bb d\u00f6nt\u00e9s egy\u00fctt \u00e1llt \u00f6ssze egy vesz\u00e9lyes l\u00e1ncc\u00e1: URL-alap\u00fa route illeszt\u00e9s, t\u00fal enged\u00e9keny direct request m\u00f3d, a hiteles\u00edt\u00e9s logik\u00e1ja, valamint egy olyan bejelentkeztet\u00e9si folyamat, ami admin felhaszn\u00e1l\u00f3ig tud visszaesni (auto-login).<\/p>\n\n\n\n

Mely v\u00e9gpontok \u00e9rintettek, \u00e9s mi\u00e9rt vesz\u00e9lyesek?<\/h2>\n\n\n\n

A Patchstack szerint a bypass t\u00f6bb route-ot is kinyithat, t\u00f6bbek k\u00f6z\u00f6tt:<\/p>\n\n\n\n