据Patchstack披露,一款名为Modular DS的WordPress插件中存在一个最高严重级别的安全漏洞,目前已在野外被积极利用。

该漏洞编号为CVE-2026-23550(CVSS评分:10.0),被描述为影响2.5.1及之前所有版本插件的未授权权限提升漏洞。该漏洞已在2.5.2版本中修复。此插件的活跃安装量超过40,000次。

Patchstack表示:"在2.5.1及以下版本中,由于直接路由选择、身份验证机制绕过以及自动以管理员身份登录等多种因素结合,该插件存在权限提升漏洞。"

问题根源在于其路由机制,该机制本应将某些敏感路由置于身份验证屏障之后。插件在"/api/modular-connector/"前缀下暴露其路由。

然而,研究发现,每当启用"直接请求"时,通过提供设置为"mo"的"origin"参数和设置为任意值(例如"origin=mo&type=xxx")的"type"参数,即可绕过此安全层。这将导致请求被当作Modular直接请求处理。

Patchstack解释称:"因此,一旦网站已连接到Modular(令牌存在/可续期),任何人都可以通过身份验证中间件:传入请求与Modular本身之间没有加密链接。"

"这暴露了多个路由,包括/login/、/server-information/、/manager/和/backup/,允许执行从远程登录到获取敏感系统或用户数据等各种操作。"

利用此漏洞,未经验证的攻击者可利用"/login/{modular_request}"路由获取管理员访问权限,从而导致权限提升。这可能为攻击者完全控制网站铺平道路,允许其进行恶意更改、植入恶意软件或将用户重定向到诈骗网站。

据这家WordPress安全公司分享的详细信息,利用该漏洞的攻击首次于2026年1月13日世界标准时间凌晨2点左右被检测到,攻击者向端点"/api/modular-connector/login/"发起HTTP GET调用,随后尝试创建管理员用户。

攻击源自以下IP地址 -

45.11.89[.]19
185.196.0[.]11

鉴于CVE-2026-23550漏洞正被积极利用,建议插件用户尽快更新至已修复版本。

Patchstack指出:"此漏洞凸显了当内部请求路径暴露于公共互联网时,对其隐含信任可能带来的巨大危险。"

"在本案例中,问题并非由单一错误引起,而是由多个设计选择共同导致:基于URL的路由匹配、宽松的'直接请求'模式、仅基于网站连接状态的身份验证,以及自动回退到管理员账户的登录流程。"

觉得这篇文章有趣吗?请关注我们的Google News、Twitter和LinkedIn,阅读我们发布的更多独家内容。

标签: Privilege Escalation, WordPress Security, Plugin Vulnerability, CVE-2026-23550, Modular DS Plugin

添加新评论