{"id":101,"date":"2026-01-19T15:49:49","date_gmt":"2026-01-19T14:49:49","guid":{"rendered":"https:\/\/helloblog.io\/sv\/kritisk-sarbarhet-modular-ds-wordpress-adminatkomst\/"},"modified":"2026-01-20T06:33:17","modified_gmt":"2026-01-20T05:33:17","slug":"kritisk-sarbarhet-modular-ds-wordpress-adminatkomst","status":"publish","type":"post","link":"https:\/\/helloblog.io\/sv\/kritisk-sarbarhet-modular-ds-wordpress-adminatkomst\/","title":{"rendered":"Kritisk s\u00e5rbarhet i WordPress-pluginet Modular DS utnyttjas: s\u00e5 kan angripare f\u00e5 admin\u00e5tkomst"},"content":{"rendered":"\n

En obehagligt tydlig p\u00e5minnelse om hur snabbt det kan g\u00e5 i WordPress-ekosystemet: s\u00e4kerhetsbolaget Patchstack rapporterar att en maxkritisk s\u00e5rbarhet<\/strong> i pluginet Modular DS<\/strong> nu utnyttjas aktivt<\/strong> f\u00f6r att skaffa administrat\u00f6rs\u00e5tkomst<\/strong> p\u00e5 drabbade sajter.<\/p>\n\n\n\n

S\u00e5rbarheten \u00e4r sp\u00e5rad som CVE-2026-23550<\/strong> (CVSS 10.0<\/strong>) och beskrivs som en oautentiserad privilege escalation<\/strong> (r\u00e4ttighetseskalering utan inloggning). Den p\u00e5verkar alla versioner upp till och med 2.5.1<\/strong> och ska vara \u00e5tg\u00e4rdad i version 2.5.2<\/strong>.<\/p>\n\n\n\n

\"Illustration
\/api-endpoints och plugin-s\u00e5rbarheter \u00e4r \u00e5terkommande ing\u00e5ngar vid masskanning. \u2014 Forr\u00e1s: The Hacker News<\/em><\/figcaption><\/figure>\n\n\n\n

Vad \u00e4r det som \u00e4r s\u00e5rbart i Modular DS?<\/h2>\n\n\n\n

Modular DS exponerar API-rutter (endpoints) under prefixet \"\/api\/modular-connector\/\"<\/code>. Tanken \u00e4r att k\u00e4nsliga rutter ska ligga bakom en autentiseringsbarri\u00e4r (middleware), s\u00e5 att bara legitima anrop f\u00e5r n\u00e5 dem.<\/p>\n\n\n\n

Enligt Patchstack faller skyddet n\u00e4r pluginets s\u00e5 kallade “direct request”-l\u00e4ge<\/strong> g\u00e5r att trigga med URL-parametrar. Om en angripare skickar origin=mo<\/code> och s\u00e4tter type<\/code> till valfritt v\u00e4rde (t.ex. origin=mo&type=xxx<\/code>) behandlas anropet som en \u201cModular direct request\u201d \u2014 och d\u00e5 kan autentisering kringg\u00e5s.<\/p>\n\n\n\n

\n\n

Viktigt villkor f\u00f6r attacken<\/h4>\n\n\n

Patchstack beskriver att kringg\u00e5endet blir m\u00f6jligt n\u00e4r sajten redan \u00e4r kopplad till Modular (t.ex. att tokens finns och kan f\u00f6rnyas). D\u00e5 finns ingen kryptografisk koppling mellan inkommande request och Modular som avs\u00e4ndare, vilket g\u00f6r att autentiseringslagret kan passeras.<\/p>\n\n<\/div>\n\n\n\n

Vilka endpoints exponeras \u2013 och varf\u00f6r blir det admin\u00e5tkomst?<\/h2>\n\n\n\n

N\u00e4r autentiseringslagret kan passeras exponeras flera rutter som normalt b\u00f6r vara skyddade, bland annat rutter som Patchstack n\u00e4mner som \"\/login\/\"<\/code>, \"\/server-information\/\"<\/code>, \"\/manager\/\"<\/code> och \"\/backup\/\"<\/code>. De h\u00e4r kan m\u00f6jligg\u00f6ra allt fr\u00e5n fj\u00e4rrinloggning till insyn i k\u00e4nslig system- eller anv\u00e4ndardata.<\/p>\n\n\n\n

Det mest akuta \u00e4r att en oautentiserad angripare kan utnyttja rutten \"\/login\/{modular_request}\"<\/code> f\u00f6r att n\u00e5 administrat\u00f6rsbeh\u00f6righet<\/strong>. N\u00e4r en angripare v\u00e4l har admin i WordPress \u00e4r det i praktiken \u201cgame over\u201d: de kan \u00e4ndra inneh\u00e5ll, installera skadliga plugins, injicera kod, eller skicka bes\u00f6kare vidare till bedr\u00e4gerier.<\/p>\n\n\n\n

Tecken p\u00e5 aktiv exploatering (enligt Patchstack)<\/h2>\n\n\n\n

Patchstack uppger att attacker observerades fr\u00e5n den 13 januari 2026 (cirka 02:00 UTC). M\u00f6nstret de beskriver \u00e4r HTTP GET-anrop mot \"\/api\/modular-connector\/login\/\"<\/code>, f\u00f6ljt av f\u00f6rs\u00f6k att skapa en ny administrat\u00f6rsanv\u00e4ndare.<\/p>\n\n\n\n

De IP-adresser som n\u00e4mns i rapporteringen som k\u00e4llor till attacker \u00e4r:<\/p>\n\n\n\n