16 de enero de 2026

Vulnerabilidad crítica en plugin Modular DS de WordPress habilita acceso administrativo sin autenticación

Vulnerabilidad crítica en plugin Modular DS de WordPress habilita acceso administrativo sin autenticación

Una vulnerabilidad crítica en el plugin Modular DS para WordPress está siendo explotada activamente para otorgar acceso administrativo remoto sin autenticación. El fallo, identificado como CVE-2026-23550 y con puntuación CVSS 10.0, afecta a más de 40.000 instalaciones activas del plugin en versiones hasta la 2.5.1, permitiendo el compromiso total de sitios web.

Los primeros intentos de explotación se detectaron el 13 de enero de 2026 e involucran peticiones HTTP GET simples contra rutas expuestas como /login/ y /api/modular-connector/login/, utilizadas para crear usuarios con privilegios de administrador sin credenciales válidas.

Detalles técnicos

La vulnerabilidad es consecuencia de múltiples fallos de diseño en el plugin:

  • Coincidencia de rutas basada únicamente en URL, sin validaciones adicionales.

  • Modo de solicitudes directas excesivamente permisivo.

  • Lógica de autenticación débil, que confía en tokens de estado de sesión sin verificación criptográfica.

  • Fallback automático a privilegios de administrador ante errores de validación.

Como resultado, atacantes no autenticados pueden interactuar con endpoints sensibles como /server-information/, /manager/ y /backup/. Esto habilita login remoto como administrador, exfiltración de datos y control completo del sitio afectado.

La explotación fue confirmada por Patchstack, que notificó al proveedor del plugin. En respuesta, se publicó la versión 2.5.2 el mismo día para corregir el problema.

Impacto potencial

Un exploit exitoso permite:

  • Modificación maliciosa de contenido y configuraciones.

  • Inyección de malware y backdoors persistentes.

  • Redirecciones a campañas de phishing o estafas.

  • Robo de datos sensibles de usuarios y administradores.

Para organizaciones europeas, el riesgo es particularmente alto debido a posibles incumplimientos de GDPR, con impacto legal y reputacional significativo. Dado que Modular DS se utiliza para gestión remota de múltiples sitios WordPress, un único punto comprometido puede amplificar el alcance del ataque a propietarios, desarrolladores y proveedores de hosting.

Recomendaciones

  • Actualizar inmediatamente a Modular DS 2.5.2.

  • Aplicar reglas de mitigación de Patchstack para bloquear intentos de explotación conocidos.

  • Auditar logs de acceso a rutas bajo /api/modular-connector/.

  • Desactivar modos de solicitud directa hasta validar configuraciones seguras.

  • Exigir autenticación criptográfica fuerte en plugins de gestión remota.

  • Monitorear de forma proactiva instalaciones WordPress con plugins similares por escaladas de privilegios.

Este incidente vuelve a evidenciar los riesgos de APIs de plugins que asumen confianza implícita y refuerza la necesidad de controles de seguridad estrictos en extensiones con capacidades administrativas.

Fuente: https://www.bleepingcomputer.com/news/security/hackers-exploit-modular-ds-wordpress-plugin-flaw-for-admin-access/
← Anterior AWS CodeBuild mal configurado expuso rep...
Siguiente → Reprompt: un ataque de un solo clic perm...
Escrito por:
Luis Carreón
📰 Otras noticias del día
AWS CodeBuild mal configurado expuso repositorios de GitHub a ataques de supply chain
Reprompt: un ataque de un solo clic permite exfiltración de datos desde Microsoft Copilot
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio