Modular DS WordPress eklentisindeki kritik bir kimlik doğrulamasız ayrıcalık yükseltme güvenlik açığı, saldırganların, istismarın yaygın olarak onaylanmasıyla anında yönetici erişimi elde etmesine olanak tanıyor.
40.000’den fazla siteyi etkileyen 2.5.1’e kadar olan sürümlerdeki kusur, Patchstack ve satıcının acil yamalar ve hafifletici önlemler almasına yol açtı.
Modulards.com tarafından geliştirilen Modular DS, izleme, güncellemeler ve yedeklemeler de dahil olmak üzere birden fazla WordPress sitesinin uzaktan yönetilmesine olanak tanır.
Patchstack’a göre asıl sorun, eklentinin /api/modular-connector/ adresindeki Laravel benzeri yönlendiricisindeki bir kusurdan kaynaklanıyor.
Saldırganlar, Origin=mo ve herhangi bir tür parametreyi kullanarak “doğrudan istek” modunu tetikleyebilir ve sitenin Modüler hizmetlere bağlı olması durumunda kimlik doğrulama ara yazılımından kaçınabilir.
Bu, kullanıcı kimliği belirtilmediği takdirde AuthController’ın getAdminUser() aracılığıyla yönetici kullanıcı olarak otomatik olarak oturum açtığı /login/{modular_request} gibi korumalı yolları açığa çıkarır. Hiçbir imza, sır veya IP kontrolü istekleri doğrulamaz; önbellek temizleme, yedekleme veya eklenti yükleme gibi eylemler aracılığıyla tam güvenlik ihlaline zincirleme bağlanır.
| CVE Kimliği | CVSS v3.1 Puanı | Şiddet | Etkilenen Sürümler | Sabit Sürüm |
|---|---|---|---|---|
| CVE-2026-23550 | 10,0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) | Kritik | <= 2.5.1 | 2.5.2 |
Aktif Sömürü ve IOC’ler
Saldırılar 13 Ocak 2026’da UTC saatiyle 02.00 civarında başladı ve /api/modular-connector/login/’i Origin=mo&type=foo ile hedef aldı. Başarılı istismarlar, sahte e-postalara sahip “PoC Yöneticisi” gibi adlar taşıyan arka kapı yöneticileri oluşturur. Patchstack, azaltma dağıtımı sonrasında eşleşen girişimleri algıladı.
| Saldırganın IP’si | Notlar |
|---|---|
| 45.11.89[.]19 | İlk taramalar |
| 162.158.123[.]41 | Giriş araştırmaları |
| 172.70.176[.]95 | Yönetici oluşturma |
| 172.70.176[.]52 | Kalıcılık girişimleri |
Sürüm 2.5.2, URL tabanlı rota eşleşmesini kaldırır, varsayılan bir 404 geri dönüşü ekler ve rotaları bağlamadan önce tür doğrulamasını (request, oauth, lb) zorunlu kılar. Patchstack’ın azaltma kuralı, istismarları otomatik olarak engeller.
Modular DS kullanıcılarının hemen güncelleme yapması gerekir; Güvenlik açığı olan eklentiler için otomatik güncellemeleri etkinleştirin. Günlükleri IOC’lere karşı tarayın ve şüpheli yöneticileri iptal edin. Bu olay, kamuya açık, izin verilen dahili yönlendirmenin risklerinin altını çiziyor ve kriptografik istek doğrulama ihtiyacını vurguluyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
