Una rotura de seguridad de máxima pesantez en un complemento de WordPress llamado DS modulares ha sido objeto de explotación activa en la naturaleza, según Patchstack.
La vulnerabilidad, rastreada como CVE-2026-23550 (puntuación CVSS: 10.0), se ha descrito como un caso de subida de privilegios no autenticado que afecta a todas las versiones del complemento anteriores a la 2.5.1 inclusive. Ha sido parcheado en la traducción 2.5.2. El complemento tiene más de 40.000 instalaciones activas.
“En las versiones 2.5.1 e inferiores, el complemento es débil a la subida de privilegios, oportuno a una combinación de factores que incluyen la selección de ruta directa, eludir los mecanismos de autenticación y el inicio de sesión maquinal como administrador”, dijo Patchstack.
El problema tiene su origen en su mecanismo de enrutamiento, que está diseñado para poner ciertas rutas sensibles detrás de una barrera de autenticación. El complemento expone sus rutas bajo el prefijo “/api/modular-connector/”.
Sin retención, se ha descubierto que esta capa de seguridad se puede eludir cada vez que se habilita la “solicitud directa” proporcionando un parámetro de “origen” establecido en “mo” y un parámetro de “tipo” establecido en cualquier valía (por ejemplo, “origin=mo&type=xxx”). Esto hace que la solicitud se trate como una solicitud directa modular.
“Por lo tanto, tan pronto como el sitio ya se haya conectado a Modular (tokens presentes/renovables), cualquiera puede producirse el middleware de autenticación: no existe ningún vínculo criptográfico entre la solicitud entrante y el propio Modular”, explicó Patchstack.
“Esto expone varias rutas, incluidas /login/, /server-information/, /manager/ y /backup/, que permiten realizar diversas acciones, que van desde el inicio de sesión remoto hasta la extracción de datos confidenciales del sistema o del afortunado”.
Como resultado de esta lapso, un atacante no autenticado puede explotar la ruta “/login/{modular_request}” para obtener llegada de administrador, lo que resulta en una subida de privilegios. Esto podría allanar el camino para comprometer todo el sitio, permitiendo a un atacante introducir cambios maliciosos, preparar malware o redirigir a los usuarios a estafas.
Según los detalles compartidos por la empresa de seguridad de WordPress, se dice que los ataques que explotan la rotura se detectaron por primera vez el 13 de enero de 2026, rodeando de las 2 am UTC, con llamadas HTTP GET al punto final “/api/modular-connector/login/” seguidas de intentos de crear un afortunado administrador.
Los ataques se originaron desde las siguientes direcciones IP:
A la luz de la explotación activa de CVE-2026-23550, se recomienda a los usuarios del complemento que actualicen a una traducción parcheada lo ayer posible.
“Esta vulnerabilidad resalta cuán peligrosa puede ser la confianza implícita en las rutas de solicitud internas cuando se expone a la Internet pública”, dijo Patchstack.
“En este caso, el problema no fue causado por un solo error, sino por varias opciones de diseño combinadas: coincidencia de ruta basada en URL, un modo de ‘solicitud directa’ permisivo, autenticación basada solo en el estado de conexión del sitio y un flujo de inicio de sesión que automáticamente recurre a una cuenta de administrador”.
