- Patchstack encontra bug crítico do Modular DS (CVE-2026-23550) para administradores evitarem
- A vulnerabilidade obteve pontuação 10/10 e já está sendo explorada à solta
- O fornecedor lançou a correção na versão 2.5.2; os usuários solicitaram uma atualização imediata
Se o seu site WordPress executa o plugin Modular DS, você pode querer atualizá-lo para a versão mais recente o mais rápido possível.
Modular DS é um plugin WordPress popular usado por mais de 40.000 sites que permite aos administradores de sites gerenciar vários sites WordPress a partir de um único painel.
No entanto, os pesquisadores de segurança do Patchstack descobriram recentemente que suas versões 2.5.1 e anteriores apresentavam vulnerabilidades de design e implementação que expunham vários caminhos vulneráveis e ativavam o mecanismo de reversão de login automático.
Evidências de ataques
Essas vulnerabilidades incluem a escolha de uma rota direta, ignorando mecanismos de autenticação e iniciando automaticamente como administrador, explicaram os pesquisadores. Como resultado, os agentes mal-intencionados poderiam ignorar remotamente todos os mecanismos de autenticação e acessar sites comprometidos com uma conta de administrador.
“Assim que o site estiver conectado ao Modular (tokens presentes/renováveis), qualquer pessoa poderá passar pelo meio de autenticação: não há link criptográfico entre a solicitação recebida e o próprio Modular”, explicou Patchstacak.
“Isso expõe múltiplas rotas (…) que permitem uma variedade de ações, desde login remoto até a obtenção de dados confidenciais do sistema ou do usuário.”
A vulnerabilidade é rastreada como CVE-2026-23550 e recebeu uma pontuação de gravidade de 10/10 (Crítica).
Em sua postagem, Patchstack disse que o bug já está sendo explorado à solta e que os primeiros ataques foram detectados em 13 de janeiro de 2026, citando a equipe de engenheiros de suporte do WP.one. O fornecedor do Modular DS foi notificado em 14 de janeiro (um dia antes da confirmação dos primeiros ataques) e voltou com uma correção “algumas horas depois”.
A correção empurrou o Modular DS para a versão 2.5.2 e os usuários são aconselhados a atualizar sem demora.
“Recomendamos que você garanta que todas as instalações do Modular DS estejam executando esta versão o mais rápido possível e tome essas ações”, disse o Modular DS em um comunicado de segurança.
As ações recomendadas incluem a revisão de potenciais indicadores de compromisso (que podem ser encontrados aqui), regenerando sais do WordPress, regenerando credenciais OAuth e verificando o site em busca de plug-ins ou arquivos maliciosos.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
