Οι χάκερ εκμεταλλεύονται ενεργά ένα ελάττωμα μέγιστης σοβαρότητας στην προσθήκη Modular DS WordPress που τους επιτρέπει να παρακάμπτουν τον έλεγχο ταυτότητας εξ αποστάσεως και να έχουν πρόσβαση στους ευάλωτους ιστότοπους με προνόμια σε επίπεδο διαχειριστή.
Το ελάττωμα, παρακολουθείται ως CVE-2026-23550επηρεάζει τις εκδόσεις 2.5.1 και παλαιότερες του Modular DS, μιας προσθήκης διαχείρισης που επιτρέπει τη διαχείριση πολλών ιστότοπων WordPress από μια ενιαία διεπαφή.
Η προσθήκη επιτρέπει στους ιδιοκτήτες, τους προγραμματιστές ή τους παρόχους φιλοξενίας να παρακολουθούν εξ αποστάσεως ιστότοπους, να εκτελούν ενημερώσεις, να διαχειρίζονται χρήστες, να έχουν πρόσβαση σε πληροφορίες διακομιστή, να εκτελούν εργασίες συντήρησης και να συνδέονται. Το Modular DS έχει περισσότερες από 40.000 εγκαταστάσεις.
Σύμφωνα με ερευνητές του Patchstack, το CVE-2026-23550 χρησιμοποιείται επί του παρόντος στη φύση, με τις πρώτες επιθέσεις να ανιχνεύονται στις 13 Ιανουαρίου, γύρω στις 02:00 UTC.
Το Patchstack επιβεβαίωσε το ελάττωμα και επικοινώνησε με τον πωλητή την επόμενη μέρα. Modular DS κυκλοφόρησε μια επιδιόρθωση στην έκδοση 2.5.2λίγες μόνο ώρες αργότερα.
Η ευπάθεια προκαλείται από μια σειρά ελαττωμάτων σχεδιασμού και υλοποίησης, συμπεριλαμβανομένης της αποδοχής αιτημάτων ως αξιόπιστων όταν ενεργοποιείται η λειτουργία «άμεσου αιτήματος», χωρίς κρυπτογραφικό έλεγχο της προέλευσής τους. Αυτή η συμπεριφορά εκθέτει πολλές ευαίσθητες διαδρομές και ενεργοποιεί έναν αυτόματο εναλλακτικό μηχανισμό σύνδεσης διαχειριστή.
Εάν δεν παρέχεται συγκεκριμένο αναγνωριστικό χρήστη στο σώμα του αιτήματος, η προσθήκη ανακτά έναν υπάρχοντα διαχειριστή ή χρήστη υπερδιαχειριστή και, στη συνέχεια, συνδέεται αυτόματα ως αυτός ο χρήστης.
“Στον ελεγκτή src/app/Http/Controllers/AuthController.php, μέθοδος getLogin(SiteRequest $modularRequest), ο κώδικας επιχειρεί να διαβάσει ένα αναγνωριστικό χρήστη από το σώμα του $modularRequest.” Το Patchstack εξηγεί.
«Δεδομένου ότι αυτός ο κώδικας μπορεί να προσπελαστεί από χρήστες χωρίς έλεγχο ταυτότητας λόγω του ελαττώματος που εξηγήθηκε προηγουμένως, επιτρέπει μια άμεση κλιμάκωση των προνομίων», λένε οι ερευνητές.
Πηγή: Patchstack
Η ενημέρωση κώδικα στην έκδοση 2.5.2 του Modular DS αφαίρεσε την αντιστοίχιση διαδρομής βάσει URL. Τώρα καθοδηγείται εξ ολοκλήρου από επικυρωμένη λογική φίλτρου, προστέθηκε μια προεπιλεγμένη διαδρομή 404, αναγνωρίζει μόνο τιμές «τύπου» για σύνδεση διαδρομής και περιλαμβάνει μια ασφαλή λειτουργία αποτυχίας για μη αναγνωρισμένα αιτήματα.
Συνιστάται στους χρήστες του Modular DS να κάνουν αναβάθμιση στην έκδοση 2.5.2 ή μεταγενέστερη το συντομότερο δυνατό.
Σε ένα δελτίο ασφαλείαςο προμηθευτής συμβουλεύει τους χρήστες να ελέγχουν τα αρχεία καταγραφής πρόσβασης διακομιστή για ύποπτα αιτήματα, να ελέγχουν τους χρήστες διαχειριστή για αδίστακτες προσθήκες και να αναγεννούν όλα τα άλατα του WordPress μετά την ενημέρωση στην πιο πρόσφατη έκδοση.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
