Bir WordPress eklentisindeki maksimum önem derecesine sahip bir güvenlik açığı olarak adlandırılan Modüler DS Patchstack’a göre vahşi doğada aktif olarak sömürülüyor.
CVE-2026-23550 (CVSS puanı: 10.0) olarak takip edilen güvenlik açığı, eklentinin 2.5.1 öncesi ve dahil tüm sürümlerini etkileyen, kimliği doğrulanmamış ayrıcalık yükseltme durumu olarak tanımlandı. 2.5.2 sürümünde yamalı hale getirildi. Eklentinin 40.000’den fazla aktif kurulumu var.
Patchstack, “2.5.1 ve altındaki sürümlerde, doğrudan rota seçimi, kimlik doğrulama mekanizmalarının atlanması ve yönetici olarak otomatik oturum açma gibi faktörlerin birleşimi nedeniyle eklenti ayrıcalık yükseltmeye karşı savunmasızdır” dedi.
Sorun, belirli hassas rotaları bir kimlik doğrulama bariyerinin arkasına koymak için tasarlanmış yönlendirme mekanizmasından kaynaklanıyor. Eklenti, rotalarını “/api/modular-connector/” öneki altında gösterir.
Ancak, “mo”ya ayarlanmış bir “origin” parametresi ve herhangi bir değere ayarlanmış bir “type” parametresi (örneğin, “origin=mo&type=xxx”) sağlanarak “doğrudan istek” her etkinleştirildiğinde bu güvenlik katmanının atlanabileceği bulunmuştur. Bu, isteğin Modüler doğrudan istek olarak değerlendirilmesine neden olur.
Patchstack, “Bu nedenle, site zaten Modüler’e (tokenlar mevcut/yenilenebilir) bağlanır bağlanmaz, herkes kimlik doğrulama ara katman yazılımını geçebilir: gelen istek ile Modular’ın kendisi arasında kriptografik bir bağlantı yoktur” diye açıkladı.
“Bu, /login/, /server-information/, /manager/ ve /backup/ dahil olmak üzere, uzaktan oturum açmadan hassas sistem veya kullanıcı verilerini elde etmeye kadar çeşitli eylemlerin gerçekleştirilmesine olanak tanıyan çeşitli yolları açığa çıkarır.”
Bu boşluğun bir sonucu olarak, kimliği doğrulanmamış bir saldırgan, yönetici erişimi elde etmek için “/login/{modular_request}” yolunu kullanabilir ve bu da ayrıcalık artışına neden olabilir. Bu durum, bir saldırganın kötü amaçlı değişiklikler yapmasına, kötü amaçlı yazılım hazırlamasına veya kullanıcıları dolandırıcılığa yönlendirmesine izin vererek tüm sitenin ele geçirilmesinin önünü açabilir.
WordPress güvenlik şirketi tarafından paylaşılan ayrıntılara göre, bu kusurdan yararlanan saldırıların ilk olarak 13 Ocak 2026’da, sabah saat 2 civarında, “/api/modular-connector/login/” uç noktasına HTTP GET çağrıları ve ardından bir yönetici kullanıcı oluşturma girişimleri ile tespit edildiği söyleniyor.
Saldırılar aşağıdaki IP adreslerinden kaynaklandı:
CVE-2026-23550’nin aktif olarak kullanılması ışığında, eklenti kullanıcılarının mümkün olan en kısa sürede yamalı sürüme güncelleme yapmaları tavsiye edilir.
Patchstack, “Bu güvenlik açığı, dahili istek yollarındaki örtülü güvenin halka açık internete maruz kaldığında ne kadar tehlikeli olabileceğini vurguluyor” dedi.
“Bu durumda, sorun tek bir hatadan değil, çeşitli tasarım seçeneklerinin bir araya getirilmesinden kaynaklandı: URL tabanlı rota eşleştirme, izin veren ‘doğrudan istek’ modu, yalnızca site bağlantı durumuna dayalı kimlik doğrulama ve otomatik olarak yönetici hesabına geri dönen bir oturum açma akışı.”