Una vulnerabilidad de seguridad de alta gravedad en un complemento de WordPress llamado DS modulares Según Patchstack, ha sido explotado activamente en la naturaleza.
La vulnerabilidad, rastreada como CVE-2026-23550 (puntaje CVSS: 10.0), se describió como un caso de escalada de privilegios no autenticados que afecta a todas las versiones del complemento anteriores a la 2.5.1 inclusive. Ha sido parcheado en la versión 2.5.2. El complemento tiene más de 40.000 instalaciones activas.
“En las versiones 2.5.1 e inferiores, el complemento es vulnerable a la escalada de privilegios debido a una combinación de factores como la selección de ruta directa, eludir los mecanismos de autenticación y el inicio de sesión automático como administrador”, dijo Patchstack.
El problema radica en su mecanismo de enrutamiento, que está diseñado para colocar ciertas rutas sensibles detrás de una barrera de autenticación. El complemento expone sus rutas bajo el prefijo “/api/modular-connector/”.
Sin embargo, se ha descubierto que esta capa de seguridad se puede omitir cada vez que se habilita la “solicitud directa” especificando un parámetro de “origen” con el valor “mo” y un parámetro de “tipo” con cualquier valor (por ejemplo, “origin=mo&type=xxx”). Esto significa que la solicitud se trata como una solicitud directa modular.
“Entonces, una vez que el sitio ya se ha conectado a Modular (token presente/renovable), cualquiera puede pasar a través del middleware de autenticación: no hay conexión criptográfica entre la solicitud entrante y el propio Modular”, explicó Patchstack.
“Esto expone múltiples rutas, incluidas /login/, /server-information/, /manager/ y /backup/, lo que permite la ejecución de diversas acciones, desde el inicio de sesión remoto hasta la obtención de datos confidenciales del sistema o del usuario”.
Esta vulnerabilidad permite que un atacante no autenticado aproveche la ruta /login/{modular_request} para obtener acceso administrativo, lo que resulta en una escalada de privilegios. Esto podría entonces allanar el camino para un compromiso total del sitio web, permitiendo a un atacante introducir cambios maliciosos, introducir malware o redirigir a los usuarios a estafas.
Según la empresa de seguridad de WordPress, los ataques que explotan la vulnerabilidad se descubrieron por primera vez alrededor de las 2 a. m. UTC del 13 de enero de 2026, con llamadas HTTP GET al punto final /api/modular-connector/login/, seguidas de intentos de crear un usuario administrador.
Los ataques se originaron desde las siguientes direcciones IP:
Dada la explotación activa de CVE-2026-23550, se recomienda a los usuarios del complemento que actualicen a una versión parcheada lo antes posible.
“Esta vulnerabilidad resalta cuán peligrosa puede ser la confianza implícita en las rutas de solicitud internas cuando se expone a la Internet pública”, dijo Patchstack.
“En este caso, el problema no fue causado por un solo error, sino por varias opciones de diseño en combinación: coincidencia de ruta basada en URL, un modo de” solicitud directa “permisivo, autenticación basada solo en el estado de conexión del sitio y un flujo de inicio de sesión que automáticamente regresa a una cuenta de administrador”.
About The Author
