{"id":116,"date":"2026-01-19T15:49:46","date_gmt":"2026-01-19T14:49:46","guid":{"rendered":"https:\/\/helloblog.io\/pt\/falha-critica-plugin-modular-ds-wordpress-explorada-acesso-admin\/"},"modified":"2026-01-20T06:32:52","modified_gmt":"2026-01-20T05:32:52","slug":"falha-critica-plugin-modular-ds-wordpress-explorada-acesso-admin","status":"publish","type":"post","link":"https:\/\/helloblog.io\/pt\/falha-critica-plugin-modular-ds-wordpress-explorada-acesso-admin\/","title":{"rendered":"Falha cr\u00edtica no plugin Modular DS para WordPress est\u00e1 a ser explorada para obter acesso de administrador"},"content":{"rendered":"\n

Quem gere sites WordPress j\u00e1 conhece o padr\u00e3o: uma falha cr\u00edtica num plugin popular aparece e, quando damos por isso, j\u00e1 h\u00e1 tr\u00e1fego automatizado a varrer endpoints p\u00fablicos \u00e0 procura de instala\u00e7\u00f5es vulner\u00e1veis. Foi exatamente esse o alerta lan\u00e7ado para o plugin Modular DS<\/strong>, que tem mais de 40.000 instala\u00e7\u00f5es ativas<\/strong> e agora est\u00e1 no centro de uma explora\u00e7\u00e3o ativa para ganhar acesso de administrador<\/strong>.<\/p>\n\n\n\n

A vulnerabilidade foi catalogada como CVE-2026-23550<\/strong> com CVSS 10.0<\/strong> e afeta todas as vers\u00f5es at\u00e9 2.5.1 (inclusive)<\/strong>. A corre\u00e7\u00e3o foi disponibilizada na vers\u00e3o 2.5.2<\/strong>, segundo a documenta\u00e7\u00e3o oficial do fornecedor.<\/p>\n\n\n\n

O que est\u00e1 a acontecer (em termos pr\u00e1ticos)<\/h2>\n\n\n\n

O problema \u00e9 uma escalada de privil\u00e9gios sem autentica\u00e7\u00e3o<\/strong> (unauthenticated privilege escalation). Na pr\u00e1tica, um atacante n\u00e3o autenticado consegue contornar a camada de autentica\u00e7\u00e3o de rotas expostas pelo plugin e, a partir da\u00ed, acionar um fluxo que pode resultar em login remoto com permiss\u00f5es elevadas \u2014 incluindo admin<\/strong>.<\/p>\n\n\n\n

O Modular DS exp\u00f5e endpoints sob o prefixo \"\/api\/modular-connector\/\"<\/code>. A inten\u00e7\u00e3o do plugin \u00e9 proteger rotas sens\u00edveis atr\u00e1s de uma barreira de autentica\u00e7\u00e3o (middleware). O que falhou aqui foi o desenho do mecanismo de routing (roteamento) e a forma como certas requests s\u00e3o classificadas como “diretas”.<\/p>\n\n\n\n

A raiz t\u00e9cnica: routing permissivo e \u201cdirect request mode\u201d<\/h2>\n\n\n\n

Segundo a Patchstack, a explora\u00e7\u00e3o depende de uma combina\u00e7\u00e3o de decis\u00f5es de implementa\u00e7\u00e3o \u2014 n\u00e3o de um \u00fanico bug isolado. O ponto central \u00e9 que, quando o modo de “direct request” est\u00e1 ativo, \u00e9 poss\u00edvel bypassar a autentica\u00e7\u00e3o<\/strong> atrav\u00e9s de par\u00e2metros na query string.<\/p>\n\n\n\n

O bypass acontece ao enviar uma request com origin=mo<\/code> e type<\/code> definido para qualquer valor (por exemplo, origin=mo&type=xxx<\/code>). Isso faz com que a request seja tratada como se fosse um pedido direto do ecossistema Modular, mesmo vindo da internet p\u00fablica.<\/p>\n\n\n\n

\n\n

Porque isto \u00e9 perigoso<\/h4>\n\n\n

O bypass n\u00e3o cria uma liga\u00e7\u00e3o criptogr\u00e1fica (ou outra verifica\u00e7\u00e3o forte) entre a request recebida e a plataforma Modular. Assim que o site j\u00e1 estiver ligado ao Modular (tokens presentes\/renov\u00e1veis), a prote\u00e7\u00e3o pode ser contornada e rotas sens\u00edveis ficam expostas.<\/p>\n\n<\/div>\n\n\n\n

Que rotas podem ficar expostas<\/h2>\n\n\n\n

Com a autentica\u00e7\u00e3o contornada, um atacante pode alcan\u00e7ar rotas que permitem desde a\u00e7\u00f5es de login remoto at\u00e9 recolha de informa\u00e7\u00e3o sens\u00edvel. A Patchstack cita, entre outras, as rotas:<\/p>\n\n\n\n