Een beveiligingsfout met de hoogste ernst in een WordPress-plug-in genaamd Modulaire DS wordt volgens Patchstack in het wild actief geëxploiteerd.
De kwetsbaarheid, bijgehouden als CVE-2026-23550 (CVSS-score: 10,0), is beschreven als een geval van niet-geverifieerde escalatie van bevoegdheden die gevolgen heeft voor alle versies van de plug-in vóór en inclusief 2.5.1. Het is gepatcht in versie 2.5.2. De plug-in heeft meer dan 40.000 actieve installaties.
“In versies 2.5.1 en lager is de plug-in kwetsbaar voor escalatie van bevoegdheden, vanwege een combinatie van factoren, waaronder directe routeselectie, het omzeilen van authenticatiemechanismen en automatisch inloggen als beheerder”, aldus Patchstack.
Het probleem vindt zijn oorsprong in het routeringsmechanisme, dat is ontworpen om bepaalde gevoelige routes achter een authenticatiebarrière te plaatsen. De plug-in geeft zijn routes weer onder het voorvoegsel “/api/modular-connector/”.
Er is echter gebleken dat deze beveiligingslaag elke keer dat het “directe verzoek” wordt ingeschakeld, kan worden omzeild door een “origin”-parameter op te geven die is ingesteld op “mo” en een “type”-parameter die is ingesteld op een willekeurige waarde (bijvoorbeeld “origin=mo&type=xxx”). Hierdoor wordt het verzoek behandeld als een modulair direct verzoek.
“Dus zodra de site al is verbonden met Modular (tokens aanwezig/hernieuwbaar), kan iedereen de auth-middleware doorgeven: er is geen cryptografische link tussen het binnenkomende verzoek en Modular zelf”, legt Patchstack uit.
“Hierdoor worden verschillende routes blootgelegd, waaronder /login/, /server-information/, /manager/ en /backup/, waarmee verschillende acties kunnen worden uitgevoerd, variërend van inloggen op afstand tot het verkrijgen van gevoelige systeem- of gebruikersgegevens.”
Als gevolg van deze maas in de wet kan een niet-geverifieerde aanvaller de route “/login/{modular_request}” misbruiken om beheerderstoegang te krijgen, wat resulteert in escalatie van bevoegdheden. Dit zou vervolgens de weg kunnen vrijmaken voor een volledige inbreuk op de site, waardoor een aanvaller kwaadaardige wijzigingen kan doorvoeren, malware kan opzetten of gebruikers kan omleiden naar oplichting.
Volgens gegevens gedeeld door het WordPress-beveiligingsbedrijf zouden aanvallen die misbruik maken van de fout voor het eerst zijn gedetecteerd op 13 januari 2026, rond 02.00 uur UTC, met HTTP GET-oproepen naar het eindpunt “/api/modular-connector/login/”, gevolgd door pogingen om een admin-gebruiker aan te maken.
De aanvallen zijn afkomstig van de volgende IP-adressen:
In het licht van actieve exploitatie van CVE-2026-23550 wordt gebruikers van de plug-in geadviseerd zo snel mogelijk te updaten naar een gepatchte versie.
“Deze kwetsbaarheid benadrukt hoe gevaarlijk impliciet vertrouwen in interne verzoekpaden kan zijn wanneer deze worden blootgesteld aan het openbare internet”, aldus Patchstack.
“In dit geval werd het probleem niet veroorzaakt door een enkele bug, maar door verschillende ontwerpkeuzes gecombineerd: URL-gebaseerde routematching, een tolerante ‘direct request’-modus, authenticatie alleen gebaseerd op de siteverbindingsstatus en een inlogstroom die automatisch terugvalt naar een beheerdersaccount.”
