Theo Patchstack, một lỗ hổng bảo mật mức độ nghiêm trọng tối đa trong plugin WordPress có tên Modular DS đang bị khai thác tích cực.
Lỗ hổng, được theo dõi là CVE-2026-23550 (điểm CVSS: 10.0), được mô tả là một trường hợp leo thang đặc quyền không cần xác thực (unauthenticated privilege escalation), ảnh hưởng đến tất cả các phiên bản của plugin trước và bao gồm 2.5.1. Nó đã được vá trong phiên bản 2.5.2. Plugin này có hơn 40.000 lượt cài đặt đang hoạt động.
"Trong các phiên bản 2.5.1 trở xuống, plugin dễ bị leo thang đặc quyền (privilege escalation), do sự kết hợp của nhiều yếu tố bao gồm lựa chọn tuyến đường trực tiếp (direct route selection), bỏ qua cơ chế xác thực (authentication mechanisms), và tự động đăng nhập với quyền admin," Patchstack cho biết.
Vấn đề nằm ở cơ chế định tuyến của nó, được thiết kế để đặt một số tuyến đường nhạy cảm phía sau một rào cản xác thực. Plugin này phơi bày các tuyến đường của mình dưới tiền tố "/api/modular-connector/".
Tuy nhiên, người ta đã phát hiện ra rằng lớp bảo mật này có thể bị bỏ qua mỗi khi "direct request" được kích hoạt bằng cách cung cấp tham số "origin" được đặt thành "mo" và tham số "type" được đặt thành bất kỳ giá trị nào (ví dụ: "origin=mo&type=xxx"). Điều này khiến yêu cầu được xử lý như một Modular direct request.
"Do đó, ngay khi trang web đã được kết nối với Modular (token present/renewable), bất kỳ ai cũng có thể vượt qua auth middleware: không có liên kết mã hóa nào giữa yêu cầu đến và chính Modular," Patchstack giải thích.
"Điều này làm lộ một số tuyến đường, bao gồm /login/, /server-information/, /manager/, và /backup/, cho phép thực hiện nhiều hành động khác nhau, từ đăng nhập từ xa (remote login) đến lấy dữ liệu hệ thống hoặc người dùng nhạy cảm."
Do lỗ hổng này, một kẻ tấn công không xác thực có thể exploit tuyến đường "/login/{modular_request}" để có quyền truy cập quản trị viên, dẫn đến privilege escalation. Điều này sau đó có thể mở đường cho việc chiếm quyền kiểm soát hoàn toàn trang web (full site compromise), cho phép kẻ tấn công đưa ra các thay đổi độc hại, cài đặt malware hoặc chuyển hướng người dùng đến các trang lừa đảo.
Theo thông tin chi tiết được chia sẻ bởi công ty bảo mật WordPress, các cuộc tấn công exploit lỗ hổng này được cho là lần đầu tiên được phát hiện vào ngày 13 tháng 1 năm 2026, khoảng 2 giờ sáng UTC, với các cuộc gọi HTTP GET đến điểm cuối "/api/modular-connector/login/" sau đó là các nỗ lực tạo người dùng admin.
Các cuộc tấn công có nguồn gốc từ các địa chỉ IP sau:
Trước tình hình CVE-2026-23550 đang bị exploit tích cực, người dùng plugin nên cập nhật lên phiên bản đã được vá càng sớm càng tốt.
"Lỗ hổng này làm nổi bật sự nguy hiểm của việc tin tưởng ngầm vào các đường dẫn yêu cầu nội bộ khi chúng bị phơi bày ra internet công cộng," Patchstack cho biết.
"Trong trường hợp này, vấn đề không phải do một bug duy nhất gây ra, mà là sự kết hợp của nhiều lựa chọn thiết kế: khớp tuyến đường dựa trên URL, chế độ 'direct request' dễ dãi, xác thực chỉ dựa trên trạng thái kết nối trang web, và luồng đăng nhập tự động trở về tài khoản quản trị viên."
