otrobit

Vulnerabilidad crítica en Modular DS para WordPress permite acceso como administrador sin autenticación

enero 16, 2026 · 12,345 vistas

Una vulnerabilidad de máxima severidad (CVSS 10.0) ha sido identificada en el plugin Modular DS para WordPress y actualmente está siendo explotada activamente. El fallo permite a un atacante no autenticado obtener privilegios de administrador, lo que puede derivar en el compromiso total del sitio afectado.

La vulnerabilidad ha sido registrada como CVE-2026-23550 y afecta a todas las versiones del plugin hasta la 2.5.1 inclusive. El problema fue corregido en la versión 2.5.2.

El fallo reside en el sistema de ruteo personalizado implementado por el plugin, el cual expone endpoints bajo el prefijo:

/api/modular-connector/

Dicho sistema intenta proteger rutas sensibles mediante un middleware de autenticación. Sin embargo, los investigadores de Patchstack descubrieron que este mecanismo puede ser completamente eludido cuando se utiliza el modo de “solicitud directa”.

Al enviar una petición HTTP que incluya los siguientes parámetros:

origin=mo
type=valor_cualquiera

la solicitud es tratada como una petición interna legítima del servicio Modular, incluso cuando proviene de un origen externo no confiable.

El problema se agrava debido a que no existe ningún mecanismo criptográfico que valide que la solicitud realmente provenga de Modular. Si el sitio ya fue previamente conectado al servicio (tokens presentes o renovables), el middleware de autenticación queda inutilizado.

Este bypass expone múltiples endpoints críticos, entre ellos:

  • /login/
  • /server-information/
  • /manager/
  • /backup/

Estas rutas permiten ejecutar acciones sensibles como:

  • Inicio de sesión remoto
  • Obtención de información del sistema
  • Acceso a datos de usuarios
  • Operaciones administrativas
El mayor riesgo se presenta al explotar la ruta:

/login/{modular_request}

la cual permite a un atacante iniciar sesión automáticamente como administrador, sin necesidad de credenciales válidas.

Impacto

La explotación exitosa de esta vulnerabilidad permite:

  • Escalada completa de privilegios
  • Creación de usuarios administradores maliciosos
  • Modificación del contenido del sitio
  • Instalación de malware o backdoors
  • Redirección de visitantes a sitios fraudulentos

En la práctica, esto representa un compromiso total del sitio WordPress.

Patchstack confirmó que los primeros intentos de explotación se detectaron el 13 de enero de 2026, alrededor de las 02:00 UTC. Los ataques consistieron en solicitudes HTTP GET al endpoint:

/api/modular-connector/login/

seguidas de intentos automatizados para crear cuentas de administrador.

Algunas de las direcciones IP asociadas a estos ataques incluyen:

  • 45.11.89[.]19
  • 185.196.0[.]11

Recomendaciones

Dado que la vulnerabilidad está siendo explotada activamente, se recomienda:

  1. Actualizar inmediatamente el plugin Modular DS a la versión 2.5.2 o superior

  2. Revisar el listado de usuarios administradores en busca de cuentas no autorizadas

  3. Regenerar las WordPress salts para invalidar sesiones activas

  4. Regenerar las credenciales OAuth asociadas

  5. Realizar un escaneo completo del sitio para detectar archivos, plugins o código malicioso

  6. Revisar los logs del servidor en busca de solicitudes sospechosas al endpoint afectado

Etiquetas:

Comentarios

Publicar un comentario