- Patchstackが、管理者回避を可能にする重大なModular DSの欠陥(CVE-2026-23550)を発見
- 脆弱性は10/10の評価で、すでに実際の攻撃で悪用されている
- ベンダーはバージョン2.5.2で修正を公開、ユーザーは直ちにアップグレードするよう呼びかけ
あなたのWordPressサイトがModular DSプラグインを使用している場合、できるだけ早く最新バージョンへ更新したほうがよいでしょう。
Modular DSは4万以上のサイトで利用されている人気のWordPressプラグインで、サイト管理者が単一のダッシュボードから複数のWordPressサイトを管理できるようにします。
しかしセキュリティ研究者のPatchstackは最近、バージョン2.5.1以前に設計および実装上の脆弱性があり、複数の機密ルートが露出し、自動ログインのフォールバック機構が有効化されていることを発見しました。
攻撃の証拠
研究者によると、これらの脆弱性には、ルートの直接選択、認証機構の回避、管理者としての自動ログインが含まれます。その結果、悪意ある攻撃者は遠隔からすべての認証機構を回避し、管理者アカウントで侵害されたサイトにアクセスできた可能性があります。
「サイトがすでにModularに接続されている(トークンが存在し、更新可能)場合、誰でも認証ミドルウェアを通過できます。受信リクエストとModular自体の間に暗号学的な結び付きが存在しないのです」とPatchstacakは説明しました。
「これにより、リモートログインから機密性の高いシステムまたはユーザーデータの取得まで、さまざまな操作を可能にする複数のルートが露出します[…]」
この脆弱性は現在CVE-2026-23550として追跡され、深刻度スコアは10/10(クリティカル)と評価されました。
Patchstackは報告書の中で、この欠陥はすでに実際の環境で悪用されており、WP.oneのサポートエンジニアチームの情報として、最初の攻撃は2026年1月13日に検知されたと述べています。Modular DSのベンダーには1月14日(最初の攻撃が確認された翌日)に通知され、修正は「わずか数時間後」に提供されたとのことです。
この修正によりModular DSはバージョン2.5.2となり、ユーザーはいかなる遅れもなくアップグレードするよう勧告されています。
「すべてのModular DSインストール環境が、できるだけ早くこのバージョンを実行していることを確認し、以下の対応を完了することを強く推奨します」とModular DSはセキュリティ勧告で述べています。
推奨される対応には、侵害の兆候の可能性を確認すること(こちらで確認可能)、WordPressのソルトの再生成、OAuth認証情報の再生成、悪意のあるプラグインやファイルがないかサイトをスキャンすることが含まれます。
