(https://i.imgur.com/OiyIU2i.jpeg)
Patchstack describe CVE-2026-23550 como el resultado de una combinación de fallos de diseño y lógica, que incluyen:
- Selección directa de rutas sensibles
- Elusión de mecanismos de autenticación
- Inicio de sesión automático como administrador
En palabras de los investigadores, el plugin es vulnerable debido a una arquitectura que confía implícitamente en el origen de las solicitudes, sin establecer un vínculo criptográfico real entre la petición entrante y la plataforma Modular.
El fallo se localiza específicamente en el mecanismo de enrutamiento personalizado, el cual expone endpoints sensibles bajo el prefijo:
/api/modular-connector/Estas rutas deberían estar protegidas por autenticación. Sin embargo, los atacantes pueden burlar completamente esta capa de seguridad.
Cómo se explota la vulnerabilidadLa explotación ocurre cuando se activa el modo de "solicitud directa", proporcionando dos parámetros manipulados en la petición HTTP:
origin=mo
type= con cualquier valor arbitrario
Por ejemplo:
origin=mo&type=xxxAl incluir estos parámetros, el plugin interpreta la solicitud como una petición modular directa, lo que permite saltarse el middleware de autenticación. Patchstack confirmó que no existe ningún enlace criptográfico que valide que la solicitud realmente provenga de Modular.
Una vez superada esta barrera, quedan expuestas múltiples rutas críticas, entre ellas:
/login/
/server-information/
/manager/
/backup/Estas rutas permiten realizar acciones altamente sensibles, como obtener información interna del servidor, acceder a datos del sistema y, lo más grave, iniciar sesión como administrador.
Escalada de privilegios y compromiso total del sitioEl vector de ataque más crítico es la ruta:
/api/modular-connector/login/{modular_request}A través de este endpoint, un atacante no autenticado puede obtener acceso administrativo completo, lo que abre la puerta a un compromiso total del sitio WordPress.
Con privilegios de administrador, los atacantes pueden:
- Crear usuarios administradores ocultos
- Instalar plugins o temas maliciosos
- Inyectar malware o backdoors persistentes
- Redirigir visitantes a campañas de phishing o estafas
- Manipular contenido y dañar la reputación del sitio
Evidencia de explotación activaPatchstack informó que los ataques explotando CVE-2026-23550 fueron detectados por primera vez el 13 de enero de 2026, alrededor de las 02:00 a.m. UTC. Las campañas incluyeron solicitudes HTTP GET dirigidas directamente al endpoint vulnerable /api/modular-connector/login/, seguidas de intentos para crear nuevos usuarios con privilegios administrativos.
Las direcciones IP identificadas como origen de los ataques incluyen:
- 45.11.89[.]19
- 185.196.0[.]11
Este comportamiento confirma que no se trata de una vulnerabilidad teórica, sino de una amenaza activa y en curso.
Recomendaciones urgentes de mitigaciónAnte la explotación activa de CVE-2026-23550, se recomienda a todos los administradores de WordPress:
- Actualizar inmediatamente el plugin Modular DS a la versión 2.5.2 o superior
- Revisar los registros del servidor en busca de solicitudes sospechosas al endpoint vulnerable
- Auditar la lista de usuarios administradores y eliminar cuentas no reconocidas
- Además, Modular DS y Patchstack aconsejan realizar las siguientes acciones si existe sospecha de compromiso:
- Regenerar las sales de WordPress, invalidando todas las sesiones activas
- Regenerar credenciales OAuth
- Escanear el sitio en busca de plugins, archivos o código malicioso
Lecciones de seguridad Según los mantenedores del plugin, la vulnerabilidad se originó en una capa de enrutamiento personalizada que extendía la lógica de Laravel, pero cuya implementación resultó excesivamente permisiva. Esto permitió que solicitudes especialmente elaboradas coincidieran con endpoints protegidos sin una validación de autenticación adecuada.
Patchstack concluyó que este incidente demuestra lo peligroso que puede ser confiar en rutas internas expuestas a internet público, especialmente cuando se combinan múltiples decisiones de diseño inseguras, como:
- Coincidencia de rutas basada únicamente en URLs
- Modos de solicitud directa demasiado permisivos
- Autenticación dependiente del estado de conexión
- Flujos de inicio de sesión que recaen automáticamente en cuentas administrativas
En un ecosistema como WordPress, donde los plugins amplían significativamente la superficie de ataque, este caso refuerza la importancia de actualizaciones constantes, auditorías de seguridad y principios de mínimo privilegio.
Fuente: https://thehackernews.com/