Kritisk sårbarhet i WordPress-pluginet Modular DS utnyttjas: så kan angripare få adminåtkomst

En obehagligt tydlig påminnelse om hur snabbt det kan gå i WordPress-ekosystemet: säkerhetsbolaget Patchstack rapporterar att en maxkritisk sårbarhet i pluginet Modular DS nu utnyttjas aktivt för att skaffa administratörsåtkomst på drabbade sajter.

Sårbarheten är spårad som CVE-2026-23550 (CVSS 10.0) och beskrivs som en oautentiserad privilege escalation (rättighetseskalering utan inloggning). Den påverkar alla versioner upp till och med 2.5.1 och ska vara åtgärdad i version 2.5.2.

Vad är det som är sårbart i Modular DS?

Modular DS exponerar API-rutter (endpoints) under prefixet "/api/modular-connector/". Tanken är att känsliga rutter ska ligga bakom en autentiseringsbarriär (middleware), så att bara legitima anrop får nå dem.

Enligt Patchstack faller skyddet när pluginets så kallade “direct request”-läge går att trigga med URL-parametrar. Om en angripare skickar origin=mo och sätter type till valfritt värde (t.ex. origin=mo&type=xxx) behandlas anropet som en “Modular direct request” — och då kan autentisering kringgås.

Vilka endpoints exponeras – och varför blir det adminåtkomst?

När autentiseringslagret kan passeras exponeras flera rutter som normalt bör vara skyddade, bland annat rutter som Patchstack nämner som "/login/", "/server-information/", "/manager/" och "/backup/". De här kan möjliggöra allt från fjärrinloggning till insyn i känslig system- eller användardata.

Det mest akuta är att en oautentiserad angripare kan utnyttja rutten "/login/{modular_request}" för att nå administratörsbehörighet. När en angripare väl har admin i WordPress är det i praktiken “game over”: de kan ändra innehåll, installera skadliga plugins, injicera kod, eller skicka besökare vidare till bedrägerier.

Tecken på aktiv exploatering (enligt Patchstack)

Patchstack uppger att attacker observerades från den 13 januari 2026 (cirka 02:00 UTC). Mönstret de beskriver är HTTP GET-anrop mot "/api/modular-connector/login/", följt av försök att skapa en ny administratörsanvändare.

De IP-adresser som nämns i rapporteringen som källor till attacker är:

• 45.11.89[.]19 (refererad via VirusTotal)
• 185.196.0[.]11 (refererad via VirusTotal)

Åtgärder: vad du bör göra direkt

1. Uppdatera Modular DS till den patchade versionen. Patchen ska finnas i 2.5.2 enligt pluginets säkerhetsrelease: https://help.modulards.com/en/article/modular-ds-security-release-modular-connector-252-dm3mv0/
2. Inventera administratörer i WordPress och verifiera att alla admin-konton är förväntade (namn, e-post, skapelsedatum).
3. Om du hittar tecken på intrång: rotera hemligheter och stäng aktiva sessioner (se punkterna nedan).

Om du misstänker att sajten redan är komprometterad

Modular DS rekommenderar, vid tecken på intrång, följande steg:

• Regenerera WordPress salts för att ogiltigförklara befintliga sessioner
• Regenerera OAuth-credentials
• Skanna sajten efter skadliga plugins, filer eller kod

Varför den här typen av designmiss är extra farlig

Det intressanta i Patchstacks analys är att det inte handlar om “en enskild miss”, utan en kedja av val som tillsammans blir katastrofala: URL-baserad routematchning, ett för generöst direct request-läge, autentisering som i praktiken bygger på att sajten är “ansluten”, och ett loginflöde som kan falla tillbaka till en administratör.

Plugin-utvecklarna uppger också att sårbarheten låg i ett custom routing layer som byggt vidare på Laravels routematchning, där matchningslogiken blev för tillåtande och gjorde att konstruerade requests kunde matcha skyddade endpoints utan korrekt autentiseringsvalidering.

Sammanfattning

• CVE-2026-23550 (CVSS 10.0) påverkar Modular DS upp till och med 2.5.1 och utnyttjas aktivt.
• Genom parametrar som triggar “direct request” kan autentisering kringgås och känsliga API-rutter exponeras.
• Exploatering kan leda till adminåtkomst via /api/modular-connector/login/ och vidare full kompromettering.
• Uppdatera till 2.5.2 och kontrollera tecken på intrång, särskilt oväntade admin-konton och misstänkta requests.