{"id":90,"date":"2026-01-19T15:50:20","date_gmt":"2026-01-19T14:50:20","guid":{"rendered":"https:\/\/helloblog.io\/pl\/krytyczna-luka-wordpress-modular-ds-cve-2026-23550-aktywne-ataki\/"},"modified":"2026-01-20T06:32:49","modified_gmt":"2026-01-20T05:32:49","slug":"krytyczna-luka-wordpress-modular-ds-cve-2026-23550-aktywne-ataki","status":"publish","type":"post","link":"https:\/\/helloblog.io\/pl\/krytyczna-luka-wordpress-modular-ds-cve-2026-23550-aktywne-ataki\/","title":{"rendered":"Krytyczna luka w wtyczce WordPress Modular DS (CVE-2026-23550): aktywne ataki i szybkie kroki obrony"},"content":{"rendered":"\n

W ekosystemie WordPressa przywykli\u015bmy do tego, \u017ce \u201ekrytyczna luka\u201d oznacza zwykle jaki\u015b wariant RCE albo SQLi. Tym razem problem jest r\u00f3wnie gro\u017any, ale w praktyce jeszcze bardziej podst\u0119pny: nieautoryzowana eskalacja uprawnie\u0144 do administratora<\/strong> w popularnej wtyczce Modular DS<\/strong> (ponad 40 tys. aktywnych instalacji), kt\u00f3ra \u2013 wed\u0142ug informacji od Patchstack \u2013 jest ju\u017c aktywnie wykorzystywana w atakach<\/strong>.<\/p>\n\n\n\n

Podatno\u015b\u0107 ma identyfikator CVE-2026-23550<\/strong> i ocen\u0119 CVSS 10.0<\/strong>. Dotyczy wersji do 2.5.1 w\u0142\u0105cznie<\/strong> i zosta\u0142a naprawiona w 2.5.2<\/strong>. Je\u015bli utrzymujesz serwisy klient\u00f3w lub w\u0142asne projekty na WordPressie, to jest ten typ incydentu, gdzie liczy si\u0119 czas reakcji, a nie \u201eupdate w okienku serwisowym\u201d.<\/p>\n\n\n\n

\"Ilustracja
Wed\u0142ug Patchstack luka w Modular DS jest ju\u017c wykorzystywana do uzyskania dost\u0119pu admina. \u2014 Forr\u00e1s: The Hacker News \/ Patchstack (grafika w artykule \u017ar\u00f3d\u0142owym)<\/em><\/figcaption><\/figure>\n\n\n\n

Co dok\u0142adnie jest nie tak: eskalacja uprawnie\u0144 bez logowania<\/h2>\n\n\n\n

Patchstack opisuje ten przypadek jako unauthenticated privilege escalation<\/strong> \u2013 czyli scenariusz, w kt\u00f3rym atakuj\u0105cy nie musi mie\u0107 konta ani sesji, a mimo to doprowadza do przej\u0119cia roli administracyjnej.<\/p>\n\n\n\n

Wtyczka wystawia endpointy pod prefiksem '\/api\/modular-connector\/'<\/code>. Mechanizm routingu (routing = warstwa dopasowuj\u0105ca URL do akcji\/handlera) mia\u0142 trzyma\u0107 wra\u017cliwe trasy za barier\u0105 autoryzacji. Problem polega na tym, \u017ce ta bariera da si\u0119 obej\u015b\u0107 w tzw. trybie \u201edirect request\u201d poprzez odpowiednio przygotowane parametry \u017c\u0105dania.<\/p>\n\n\n\n

Dlaczego obej\u015bcie dzia\u0142a: \u201edirect request\u201d i zbyt ufne dopasowanie rout\u00f3w<\/h2>\n\n\n\n

Z doniesie\u0144 wynika, \u017ce obej\u015bcie zabezpiecze\u0144 jest mo\u017cliwe, gdy wtyczka potraktuje ruch jako \u201eModular direct request\u201d. Ma si\u0119 to dzia\u0107 przy dostarczeniu parametr\u00f3w typu origin=mo<\/code> oraz type<\/code> ustawionego na dowoln\u0105 warto\u015b\u0107 (np. type=xxx<\/code>). Efekt: request przechodzi przez middleware autoryzacji (middleware = warstwa po\u015brednia w pipeline \u017c\u0105dania, zwykle sprawdzaj\u0105ca uprawnienia), mimo \u017ce pochodzi z internetu, a nie od zaufanego \u017ar\u00f3d\u0142a.<\/p>\n\n\n\n

Kluczowa konsekwencja opisana przez Patchstack: gdy strona by\u0142a ju\u017c wcze\u015bniej po\u0142\u0105czona z Modular (tokeny s\u0105 obecne \/ mo\u017cliwe do odnowienia), to nie ma kryptograficznego powi\u0105zania mi\u0119dzy przychodz\u0105cym \u017c\u0105daniem a realnym Modular<\/strong>. Innymi s\u0142owy: sama \u201epo\u0142\u0105czona\u201d konfiguracja serwisu staje si\u0119 warunkiem umo\u017cliwiaj\u0105cym obej\u015bcie autoryzacji, je\u015bli routing uzna request za \u201ewewn\u0119trzny\u201d.<\/p>\n\n\n\n

Jakie endpointy staj\u0105 si\u0119 dost\u0119pne i jak ko\u0144czy si\u0119 to adminem<\/h2>\n\n\n\n

Wed\u0142ug opisu podatno\u015bci ods\u0142oni\u0119tych zostaje kilka wra\u017cliwych tras, m.in. zwi\u0105zanych z logowaniem i informacjami o serwerze oraz zarz\u0105dzaniem. Patchstack wymienia mi\u0119dzy innymi:<\/p>\n\n\n\n