El plugin Modular DS cuenta con más de 40.000 instalaciones activas
Una falla de seguridad de máxima gravedad en un plugin de WordPress llamado Modular DS ha sido explotada activamente, según Patchstack.
La vulnerabilidad, identificada como CVE-2026-23550 (puntuación CVSS: 10.0), se ha descrito como un caso de escalada de privilegios no autenticado que afecta a todas las versiones del plugin anteriores a la 2.5.1. Se ha corregido en la versión 2.5.2. El plugin cuenta con más de 40.000 instalaciones activas.
"En las versiones 2.5.1 y anteriores, el plugin es vulnerable a la escalada de privilegios, debido a una combinación de factores que incluyen la selección de ruta directa, la elusión de mecanismos de autenticación y el inicio de sesión automático como administrador", dijo Patchstack.
El problema radica en su mecanismo de enrutamiento, diseñado para ocultar ciertas rutas sensibles tras una barrera de autenticación. El complemento expone sus rutas bajo el prefijo "/api/modular-connector/".
Sin embargo, se ha descubierto que esta capa de seguridad puede eludirse cada vez que se habilita la "solicitud directa" proporcionando un parámetro "origen" con el valor "mo" y un parámetro "tipo" con cualquier valor (p. ej., "origen=mo&tipo=xxx"). Esto hace que la solicitud se considere una solicitud directa modular.
"Por lo tanto, una vez que el sitio ya está conectado a Modular (tokens presentes/renovables), cualquiera puede pasar el middleware de autenticación: no hay un vínculo criptográfico entre la solicitud entrante y Modular en sí", explicó Patchstack.
"Esto expone varias rutas, incluidas /login/, /server-information/, /manager/ y /backup/, que permiten realizar diversas acciones, desde el inicio de sesión remoto hasta la obtención de datos confidenciales del sistema o del usuario".
Como resultado de esta vulnerabilidad, un atacante no autenticado puede explotar la ruta "/login/{modular_request}" para obtener acceso de administrador, lo que resulta en una escalada de privilegios. Esto podría allanar el camino para comprometer completamente el sitio, lo que permitiría a un atacante introducir cambios maliciosos, preparar malware o redirigir a los usuarios a sitios fraudulentos.
Según los detalles compartidos por la empresa de seguridad de WordPress, los ataques que explotan la falla se detectaron por primera vez el 13 de enero de 2026, alrededor de las 2 am UTC, con llamadas HTTP GET al punto final "/api/modular-connector/login/" seguidas de intentos de crear un usuario administrador.
Los ataques se originaron desde las siguientes direcciones IP:
45.11.89[.]19
185.196.0[.]11
En vista de la explotación activa de CVE-2026-23550, se recomienda a los usuarios del plugin que actualicen a una versión parcheada lo antes posible.
"Esta vulnerabilidad resalta lo peligrosa que puede ser la confianza implícita en las rutas de solicitud internas cuando se expone a la Internet pública", afirmó Patchstack.
En este caso, el problema no fue causado por un único error, sino por varias decisiones de diseño combinadas: coincidencia de rutas basada en URL, un modo de 'solicitud directa' permisivo, autenticación basada únicamente en el estado de conexión del sitio y un flujo de inicio de sesión que recurre automáticamente a una cuenta de administrador.
