ハッカーは現在、Modular DS WordPressプラグインに存在する最大深刻度の欠陥を積極的に悪用しており、これによりリモートで認証を回避し、脆弱なサイトに管理者レベルの権限でアクセスできるようになります。
CVE-2026-23550として追跡されているこの欠陥は、単一のインターフェースから複数のWordPressサイトを管理できる管理プラグイン「Modular DS」のバージョン2.5.1以前に影響します。
このプラグインにより、所有者、開発者、またはホスティングプロバイダーは、サイトのリモート監視、更新の実行、ユーザー管理、サーバー情報へのアクセス、メンテナンスタスクの実行、ログインが可能になります。Modular DSのインストール数は4万件を超えています。
Patchstackの研究者によると、CVE-2026-23550は現在、実際の攻撃で悪用されており、最初の攻撃は1月13日02:00(UTC)頃に検知されました。
Patchstackはこの欠陥を確認し、翌日にベンダーへ連絡しました。Modular DSはそのわずか数時間後に、バージョン2.5.2で修正をリリースしました。
この脆弱性は、設計および実装上の一連の欠陥に起因します。これには、「direct request」モードが有効化されている場合に、送信元を暗号学的に検証せずにリクエストを信頼済みとして受け入れてしまうことが含まれます。この挙動により複数の機密性の高いルートが露出し、自動の管理者ログインのフォールバック機構が有効になります。
リクエスト本文に特定のユーザーIDが指定されていない場合、プラグインは既存の管理者またはスーパー管理者ユーザーを取得し、そのユーザーとして自動的にログインします。
「コントローラーsrc/app/Http/Controllers/AuthController.phpのgetLogin(SiteRequest $modularRequest)メソッドでは、コードが$modularRequestの本文からユーザーIDを読み取ろうとします」と、Patchstackは説明しています。
「前述の欠陥により、このコードは未認証ユーザーからアクセスできるため、即座に権限昇格が可能になります」と研究者らは述べています。
出典: Patchstack
Modular DSバージョン2.5.2のパッチでは、URLベースのルートマッチングが削除されました。現在は検証済みのフィルターロジックのみによって駆動され、デフォルトの404ルートが追加され、ルートバインディングでは「type」の値のみを認識し、認識できないリクエストに対する安全な失敗モードが含まれています。
Modular DSのユーザーは、できるだけ早くバージョン2.5.2以降へアップグレードすることが推奨されます。
ベンダーはセキュリティ情報の中で、ユーザーに対し、不審なリクエストがないかサーバーのアクセスログを確認すること、不正に追加された管理者ユーザーがいないか点検すること、そして最新バージョンへ更新後にすべてのWordPressソルトを再生成することを推奨しています。
