広く利用されているWordPressプラグイン「Modular DS」に重大な脆弱性が見つかり、現在、脅威アクターによって実環境で積極的に悪用されています。この憂慮すべき発見は、セキュリティ企業Patchstackによって公表されました。
CVE-2026-23550として指定されたこの欠陥には、CVSSスケールで最大の深刻度スコア10.0が割り当てられています。この脆弱性により、リモートの未認証の攻撃者が標的サイトの管理者権限を奪取できます。影響を受けるのはバージョン2.5.1まで(2.5.1を含む)のすべての版で、確実な修正はバージョン2.5.2で導入されました。現在、Modular DSは40,000件を超えるWordPressインストールに組み込まれています。
セキュリティ専門家は、脆弱なバージョンには複数の有害なアーキテクチャ上の欠陥が含まれていると説明しています。これらの欠陥が組み合わさることで認証機構の回避が可能となり、管理者として自動的にログインできてしまいます。重要な役割を果たしているのは欠陥のあるルーティングシステムで、機密機能を隔離する意図があるにもかかわらず、実際には容易に回避されます。
プラグイン内のすべてのAPIルートは、パス/api/modular-connector/からアクセスできます。保護レイヤーは、パラメータorigin=moと、任意の内容のtype値を含むリクエストを送信することで無効化できます。これらの条件下では、システムが誤ってリクエストを内部扱いとして分類し、真正性の検証を完全にバイパスしてしまいます。さらに、受信リクエストと実際のModularサービスとの間に暗号学的な検証が存在しないため、このセキュリティ回避は極めて容易になります。
その結果、/login/、/server-information/、/manager/、/backup/といった重要なルートが露出します。これらのエンドポイントにより、攻撃者はリモートからシステムへアクセスし、機密性の高いサーバー情報やユーザーデータを流出させ、その他の危険な操作を実行できます。最も壊滅的なシナリオは/login/ルートで、攻撃者にサイトに対する絶対的な管理者支配権を与えてしまいます。
Patchstackによると、最初の攻撃波は2026年1月13日(UTC)午前02:00頃に記録されました。攻撃者は、密かに管理者アカウントを作成しようとする前に、/api/modular-connector/login/へGETリクエストを送信しているのが確認されました。この攻撃では、IPアドレス45.11.89.19および185.196.0.11が使用されました。
いったん制御を奪われると、攻撃者は悪意あるコードを注入し、コンテンツを改ざんし、マルウェアを拡散し、あるいはトラフィックを偽のフィッシングドメインへリダイレクトすることができ、事実上WordPress環境の完全な侵害を達成します。
この悪用が継続している状況を踏まえ、Modular DSの利用者は遅滞なくバージョン2.5.2へ更新するよう強く求められています。Patchstackは、この事案が、内部ルーティングへの暗黙の信頼が、その経路が公開インターネットに露出している場合にいかに危険であるかを痛烈に示す例だと強調しています。今回の脆弱性は単一の見落としから生じたのではなく、拙い設計判断が複合的に重なった結果、重大なセキュリティ災害を招いたものです。
