Critical WordPress Modular DS Plugin Flaw Actively Exploited to Gain Admin Access

1 minute de lecture

Mis à jour : January 15, 2026

Exploitation Active d’une Failles Critique dans le Plugin Modular DS pour WordPress

Une faille de sécurité d’une gravité maximale affectant le plugin WordPress Modular DS est activement exploitée. Cette vulnérabilité, identifiée sous la référence CVE-2026-23550 avec un score CVSS de 10.0, permet une élévation de privilèges non authentifiée. Elle impacte toutes les versions du plugin antérieures à la version 2.5.2, qui corrige le problème. Le plugin compte plus de 40 000 installations actives.

Le dysfonctionnement réside dans le mécanisme de routage du plugin. Bien que certaines routes sensibles soient censées être protégées par une authentification, un contournement est possible en activant le mode “requête directe” via des paramètres spécifiques (“origin=mo” et “type” quelconque). Cela conduit le plugin à traiter la requête comme légitime, permettant ainsi de contourner les mécanismes d’authentification.

Les routes exposées, telles que /login/, /server-information/, /manager/ et /backup/, permettent diverses actions allant de la connexion à distance à l’obtention de données sensibles sur le système ou les utilisateurs. Un attaquant non authentifié peut exploiter la route /login/{modular_request} pour obtenir un accès administrateur, ouvrant la voie à une compromission complète du site. Les premières attaques exploitant cette faille ont été détectées le 13 janvier 2026.

Points Clés :

Vulnérabilité : CVE-2026-23550 (CVSS 10.0)
Type : Élévation de privilèges non authentifiée.
Impact : Permet à un attaquant d’obtenir un accès administrateur, potentiellement menant à une compromission totale du site.
Cause racine : Combinaison de problèmes de conception incluant la correspondance des routes basée sur l’URL, un mode “requête directe” permissif, une authentification basée uniquement sur l’état de connexion du site et un flux de connexion qui revient automatiquement à un compte administrateur.

Recommandations :

Les utilisateurs du plugin Modular DS sont vivement encouragés à mettre à jour vers la version 2.5.2 ou une version ultérieure dès que possible.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Critical WordPress Modular DS Plugin Flaw Actively Exploited to Gain Admin Access

Exploitation Active d’une Failles Critique dans le Plugin Modular DS pour WordPress

Partager sur

Vous pourriez aimer

ThreatsDay Bulletin: AI Voice Cloning Exploit, Wi-Fi Kill Switch, PLC Vulns, and 14 More Stories

Tendances de Cybersécurité : Vulnérabilités, Évasions et Nouveautés

South Korean giant Kyowon confirms data theft in ransomware attack

Researchers Reveal Reprompt Attack Allowing Single-Click Data Exfiltration From Microsoft Copilot

Attaque Reprompt : Exfiltration de Données Facile via Microsoft Copilot

Palo Alto Networks warns of DoS bug letting hackers disable firewalls