セキュリティ研究者は、mx-severityの欠陥が実際に悪用されていることを確認しており、認証されていない攻撃者が脆弱なサイトで完全な管理者アクセスを得られる。
セキュリティ研究者は、広く利用されているModular DS プラグインに存在する最大深刻度の権限昇格の欠陥が、現在進行形で悪用されていることを確認した。このツールは、単一のコンソールから複数のWordPressサイトを監視・更新・管理するために使用される。
このバグはCVE-2026-23550として追跡されており、認証されていない攻撃者が数千の脆弱なサイトで完全な管理者アクセスを取得できることから、CVSSスコア10.0が付与された。
WordPressのセキュリティ企業Patchstackが公開したこの欠陥は、Modular DSのバージョン2.5.1以前に影響し、プラグインのルーティングロジックで保護されていない特定のAPIルートを呼び出すことで、資格情報なしに権限を昇格できる。
修正アップデートがユーザーに提供される前に、すでに実環境での悪用が確認されており、一部の侵害ではWordPressの管理者セッションに至っていた。
成功したエクスプロイトで管理者権限を付与
この脆弱性は、Modular DSが内部でリクエストを処理する方法に起因する。プラグインは「/api/modular-connector/」プレフィックス配下にREST風のルート群を公開しており、これらは認証ミドルウェアで保護される想定だ。しかし、ルート処理ロジック、特にisDirectRequest()メカニズムの見落としにより、特定のパラメータが存在すると一部のリクエストが認証を完全に回避してしまう。
つまり、影響を受けるエンドポイントに到達できる攻撃者は、細工した単一のリクエストで、プラグインに自分を正当な認証済みサイト接続であるかのように扱わせることができる。その結果、/login/を含む機微なルートへのアクセスが開かれ、即座に管理者権限が付与されたり、パスワード不要でサイトのユーザーやデータを列挙できたりする。
Modular DSはサイト管理プラットフォームであり、多くの代理店や開発者がWordPressサイトの管理にかかる時間を節約するために利用しているまさにそのツールだ。プラグインのルーティングおよび認証メカニクスにおける誤ったロジックにより、すべてのユーザーが潜在的な攻撃にさらされる。
緩和策
朗報として、修正は存在する。プラグインのベンダーは、脆弱性が確認されCVE識別子が割り当てられた直後の2026年1月14日に、Modular DSバージョン2.5.2をリリースした。Patchstackも、パッチ適用前に導入すれば悪用をブロックできる緩和ルールを公開している。
「バージョン2.5.1では、ルートは攻撃者が制御するURLに基づいて最初にマッチングされていました」とPatchstackの研究者はブログ投稿で述べた。「バージョン2.5.2では、URLベースのルートマッチングが削除されました。ルーターは、このサブシステムのルートを要求パスに基づいてマッチングしなくなり、ルート選択は現在、完全にフィルターロジックによって駆動されます。」
しかし、更新していない場合、4万件を超えるWordPressインストールが依然としてリスクにさらされている。この攻撃は認証もユーザー操作も必要としないため、脆弱なバージョンのプラグインを実行している公開到達可能なサイトは、自動スキャンおよび悪用ツールによって自動的に侵害される可能性がある。
研究者らは、1月13日の時点で悪用パターンがすでに表面化していたと指摘しており、勧告が公開される前から脅威アクターがウェブ全体で探りを入れていたことを示唆している。
「Modular DS Connectorプラグインのバージョン2.5.2には、重大な脆弱性に対処する重要なセキュリティ修正が含まれています」とベンダーは勧告で述べた。「すべてのModular DSインストールが、できるだけ早くこのバージョンを実行していることを強く推奨します。」更新以外に、保護のためにユーザーが取れるいくつかの手順として、不審な管理者アカウントの確認、二要素認証(2FA)の実装によるWordPressのセキュリティ制御の強化、IP制限などが挙げられる。
