{"id":105,"date":"2026-01-19T15:50:05","date_gmt":"2026-01-19T14:50:05","guid":{"rendered":"https:\/\/helloblog.io\/sl\/kriticna-ranljivost-modular-ds-cve-2026-23550\/"},"modified":"2026-01-20T06:33:05","modified_gmt":"2026-01-20T05:33:05","slug":"kriticna-ranljivost-modular-ds-cve-2026-23550","status":"publish","type":"post","link":"https:\/\/helloblog.io\/sl\/kriticna-ranljivost-modular-ds-cve-2026-23550\/","title":{"rendered":"Kriti\u010dna ranljivost v WordPress vti\u010dniku Modular DS (CVE-2026-23550) je \u017ee v zlorabi: kako preveri\u0161 in za\u0161\u010diti\u0161 spletno mesto"},"content":{"rendered":"\n

WordPress ekosistem je spet dobil primer, kjer kombinacija \u201cudobnih\u201d produktnih odlo\u010ditev hitro postane varnostni incident. Patchstack poro\u010da, da je kriti\u010dna ranljivost v vti\u010dniku Modular DS<\/strong> \u017ee aktivno zlorabljena v naravi, napadalcem pa omogo\u010da, da brez prijave pridobijo administratorske pravice<\/strong>.<\/p>\n\n\n\n

Ranljivost je ozna\u010dena kot CVE-2026-23550<\/strong> (CVSS 10.0) in vpliva na vse verzije vti\u010dnika do vklju\u010dno 2.5.1<\/strong>. Popravek je na voljo v 2.5.2<\/strong>. Ker ima vti\u010dnik ve\u010d kot 40.000 aktivnih namestitev, je realno pri\u010dakovati masovno skeniranje in avtomatizirane napade na izpostavljene strani.<\/p>\n\n\n\n

Kaj je problem (na kratko, brez dramatike)<\/h2>\n\n\n\n

Po opisu Patchstack gre za neavtenticirano eskalacijo privilegijev<\/strong>: napadalec lahko zaobide avtentikacijo in prek vti\u010dnikovih API poti pride do toka, ki omogo\u010da prijavo kot admin.<\/p>\n\n\n\n

Klju\u010dna to\u010dka je v vti\u010dnikovem mehanizmu usmerjanja (routing), kjer so dolo\u010dene ob\u010dutljive poti na\u010deloma postavljene za avtentikacijsko pregrado. Vti\u010dnik svoje endpoint-e (API poti) izpostavlja pod prefiksom \"\/api\/modular-connector\/\"<\/code>.<\/p>\n\n\n\n

Zakaj je obvoz avtentikacije sploh mogo\u010d<\/h2>\n\n\n\n

Po razlagi Patchstack se za\u0161\u010ditna plast obide, kadar je omogo\u010den na\u010din “direct request”<\/strong>. Dovolj je, da zahtevi doda\u0161 parametra origin=mo<\/code> in type=<\/code>, s \u010dimer stre\u017enik zahtevo obravnava kot \u201cModular direct request\u201d.<\/p>\n\n\n\n

Pomemben detajl: \u010de je spletno mesto \u017ee povezano z Modular (npr. prisotni in obnovljivi tokeni), potem lahko napadalec prestopi avtentikacijski middleware, ker med vhodno zahtevo in dejanskim Modular sistemom ni kriptografske vezave, ki bi dokazovala izvor.<\/p>\n\n\n\n

\n\n

Zakaj je to nevaren vzorec<\/h4>\n\n\n

Implicitno zaupanje \u201cinternim\u201d potem in URL-parametrom je lahko usodno, ko je sistem izpostavljen javnemu internetu. Tu ni \u0161lo za en sam bug, ampak za kombinacijo permisivnega route matching-a, direct request na\u010dina in prijavnega toka, ki lahko \u201cpade nazaj\u201d na admin ra\u010dun.<\/p>\n\n<\/div>\n\n\n\n

Kateri endpoint-i so po poro\u010dilu izpostavljeni<\/h2>\n\n\n\n

Patchstack navaja, da to odpira ve\u010d poti, med drugim: \"\/login\/\"<\/code>, \"\/server-information\/\"<\/code>, \"\/manager\/\"<\/code> in \"\/backup\/\"<\/code>. Posledice segajo od oddaljene prijave do pridobivanja ob\u010dutljivih sistemskih ali uporabni\u0161kih podatkov.<\/p>\n\n\n\n

Najbolj kriti\u010den scenarij je zloraba rute \"\/login\/{modular_request}\"<\/code>, ki lahko napadalcu omogo\u010di administratorski dostop, nato pa poln kompromis strani (vnos zlonamernih sprememb, namestitev malware-a ali preusmerjanje obiskovalcev na prevare).<\/p>\n\n\n\n

Kaj vemo o napadih v naravi<\/h2>\n\n\n\n

Po podatkih Patchstack so prve zlorabe zaznali 13. januarja 2026 okoli 02:00 UTC<\/strong>. Vzorec napada naj bi vklju\u010deval HTTP GET klice na \"\/api\/modular-connector\/login\/\"<\/code>, nato pa poskuse ustvarjanja novega admin uporabnika.<\/p>\n\n\n\n

Kot izvor napadov sta navedena tudi naslednja IP naslova (uporabno za hitro korelacijo v logih):<\/p>\n\n\n\n