- Patchstack encontrou falha crítica no Modular DS (CVE-2026-23550) permitindo ignorar o administrador
- Vulnerabilidade obteve pontuação 10/10 e já está sendo explorada em liberdade
- Fornecedor lançou correção na versão 2.5.2; usuários instados a atualizar imediatamente
Se o seu WordPress site está executando o plug-in Modular DS, talvez você queira atualizar para a versão mais recente o mais rápido possível.
DS Modular é um popular Plug-in WordPress usado por mais de 40.000 sites, permitindo que administradores de sites gerenciem vários sites WordPress a partir de um único painel.
No entanto, os pesquisadores de segurança Patchstack descobriram recentemente que suas versões 2.5.1 e anteriores apresentavam vulnerabilidades de design e implementação que expunham múltiplas rotas confidenciais e ativavam um mecanismo automático de retorno de login.
Evidências de ataques
Essas vulnerabilidades incluem seleção direta de rota, desvio de mecanismos de autenticação e login automático como administrador, explicaram os pesquisadores. Como resultado, os agentes mal-intencionados poderiam ter contornado todos os mecanismos de autenticação remotamente e acessado os sites comprometidos com uma conta de administrador.
“Assim que o site já estiver conectado ao Modular (tokens presentes/renováveis), qualquer pessoa pode passar o middleware de autenticação: não há link criptográfico entre a solicitação recebida e o próprio Modular”, explicou Patchstacak.
“Isso expõe vários caminhos […] que permitem a realização de diversas ações, desde login remoto até obtenção de dados confidenciais do sistema ou do usuário.”
A vulnerabilidade agora é rastreada como CVE-2026-23550 e recebeu uma pontuação de gravidade de 10/10 (crítica).
Em seu artigo, Patchstack disse que a falha já está sendo explorada e que os primeiros ataques foram detectados em 13 de janeiro de 2026, citando a equipe do engenheiro de suporte WP.one. O fornecedor do Modular DS foi notificado em 14 de janeiro (um dia após a confirmação dos primeiros ataques) e voltou com uma correção “apenas algumas horas depois”.
A correção trouxe o Modular DS para a versão 2.5.2, e os usuários agora são aconselhados a atualizar sem demora.
“Recomendamos fortemente que todas as instalações do Modular DS garantam que estejam executando esta versão o mais rápido possível e concluam as seguintes ações”, disse o Modular DS em um comunicado de segurança.
As ações recomendadas incluem a revisão de potenciais indicadores de compromisso (que podem ser encontrados aqui), regenerando sais do WordPress, regenerando credenciais OAuth e verificando o site em busca de plug-ins ou arquivos maliciosos.
Através BipandoComputador
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.