CVE-2026-23550

Nome do Software Vulnerável e Versões Afetadas Versões do Modular DS até a 2.5.1

Descrição Existe uma vulnerabilidade crítica no plugin WordPress Modular DS que permite a atacantes não autenticados obter acesso administrativo aos sites afetados. Esta falha, rastreada como CVE-2026-23550, deve-se a um mecanismo de controle de acesso quebrado, decorrente de lógica de roteamento e autenticação incorreta. Especificamente, o tratamento do modo de "requisição direta" pelo plugin permite que atacantes contornem a verificação criptográfica e acessem rotas sensíveis, como /api/modular-connector/, levando à emissão de cookies de sessão de administrador sem autenticação adequada. Isso permite que atacantes façam login como administradores e potencialmente assumam o controle total do site, incluindo a capacidade de criar novos usuários administradores, injetar plugins maliciosos, roubar dados ou depredar o site. A vulnerabilidade está sendo ativamente explorada na natureza, com tentativas de exploração observadas pela primeira vez em 13 de janeiro de 2026. Estima-se que mais de 40.000 instalações do WordPress estejam em risco. A vulnerabilidade é desencadeada pela manipulação de parâmetros de URL, contornando efetivamente a barreira de autenticação. O componente vulnerável é a lógica de roteamento dentro do plugin, especificamente a função isDirectRequest().

Recomendações Atualize o Modular DS para a versão 2.5.2 ou mais recente. Regenere os salts do WordPress após atualizar para a versão 2.5.2. Monitore os logs do WordPress em busca de solicitações de rota direta suspeitas e sessões de administrador inesperadas.