2026年1月15日Ravie LakshmananWebセキュリティ / 脆弱性
## Modular DS WordPressプラグインで深刻なセキュリティ欠陥が発見
Modular DS WordPressプラグインに重大なセキュリティ脆弱性が確認され、現在、実際の攻撃(野放しの環境)で積極的に悪用されています。この欠陥はCVE-2026-23550として識別され、深刻度を示すCVSSスコアは致命的な10.0です。この脆弱性はバージョン2.5.2より前のすべてのバージョンに影響し、4万件を超える有効インストールがリスクにさらされています。
### 何が問題なのか?
セキュリティに注力する組織Patchstackは、この脆弱性に対して深刻な懸念を表明しています。問題の主因は未認証の権限昇格で、攻撃者がサイト管理への不正アクセスを得られる可能性があります。より平易に言えば、攻撃者がセキュリティ対策を回避し、サイト設定を改ざんしたり機密データにアクセスしたりできるということです。
Patchstackによると、この欠陥は、プラグインのルート選択の扱い方や、特定のルートに対する強固な認証が欠如していることなど、複数の問題の組み合わせから生じています。具体的には、本来は保護されるべきルートを「/api/modular-connector/」というプレフィックス配下で公開してしまっています。
### 脆弱性の仕組み
このプラグインのモジュラー・ルーティング機構は、認証の壁によって機微なルートへのアクセスを制限することを意図しています。しかし、「direct request(直接リクエスト)」モードが有効になっている場合、攻撃者はこれらの保護を容易に回避できます。2つのパラメータを少し調整し、「origin」を「mo」に設定し、「type」を任意の値にするだけで、システムに正当なものとして受け入れられるリクエストを作成できます。
Patchstackが指摘するように、サイトがModularに接続されている(特定のトークンを保持している)場合、攻撃者は認証ミドルウェアをすり抜けることができます。この抜け穴により、「/login/」「/server-information/」など多数の機微なルートが開放され、データ露出や不正ログインにつながり得る操作へのアクセスが可能になります。
### 想定される影響
この脆弱性の影響は重大です。攻撃者は「/login/{modular_request}」ルートを悪用して管理者アクセスを取得し、権限を昇格させる可能性があります。最終的には、悪意あるコードのインストールや、ユーザーを詐欺サイトへリダイレクトするなど、サイトを完全に掌握できる恐れがあります。
Patchstackは、この脆弱性を悪用する最初の既知の試行が2026年1月13日に発生したと報告しており、攻撃者は脆弱なエンドポイントに対してHTTP GETリクエストを送信し、管理者アカウントの作成を試みていました。攻撃の試行はいくつかの特定IPアドレスに追跡されており、依然として旧バージョンのプラグインを運用しているユーザーにとって深刻なリスクであることが示されています。
### ユーザーへの推奨事項
CVE-2026-23550の悪用が継続している状況を踏まえ、Modular DSプラグインのユーザーは迅速に対応することが不可欠です。推奨される対応は、直ちにバージョン2.5.2以降へ更新することです。
Patchstackは、この脆弱性が、公開インターネットに露出した内部リクエストパスを暗黙に信頼することの危険性を強く示すものだと強調しています。この脆弱性は単一の設計ミスの結果ではなく、一連の望ましくない設計判断から生じています。これには、URLベースのルートマッチング、許容的な「direct request」機能、そして保護されていない接続認証状態が含まれます。
これらのリスク要因を認識し対処することで、ユーザーは将来の脅威に対してWordPressサイトをより安全に保護できます。
