Uma falha crítica no plugin Modular DS para WordPress está sendo explorada em ambiente real e permite escalada de privilégios não autenticada para criar contas administrativas. Sites que usam versões até 2.5.1 estão em risco e devem atualizar com urgência.
Descoberta e escopo
O incidente foi documentado por Patchstack e pelo fornecedor do plugin. A falha foi registrada como CVE-2026-23550 e recebeu nota 10.0 segundo CVSS v3.1 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). Estima-se que mais de 40.000 sites usam o Modular DS, que fornece gestão remota de múltiplas instalações WordPress (monitoramento, atualizações e backups).
Vetor e exploração
Segundo a análise disponível, o problema está na lógica de roteamento do tipo Laravel presente no endpoint /api/modular-connector/. Um atacante pode forçar o modo "direct request" usando o parâmetro origin=mo juntamente com qualquer parâmetro type, o que permite contornar middleware de autenticação quando o site está conectado aos serviços do Modular.
Roteiros protegidos, como /login/{modular_request}, acabam vinculando uma função AuthController que, se nenhum identificador de usuário for fornecido, retorna automaticamente um usuário administrador via getAdminUser(). Não há validação por assinatura, segredo ou checagem de IP que impeça chamadas maliciosas, abrindo caminho para criação imediata de administradores e execução de ações com privilégios totais (limpeza de cache, restauração de backups, instalação de plugins, etc.).
Evidências e IOCs
Explorações começaram em 13 de janeiro de 2026 por volta das 02:00 UTC, com tentativas direcionadas ao caminho /api/modular-connector/login/ usando origin=mo&type=foo. Foram observadas criações de contas administrativas com nomes tipo "PoC Admin" e e‑mails falsos. Patchstack reportou detecções que casam com a implantação das regras de mitigação.
- IPs observados (reportados): 45.11.89[.]19 (varreduras iniciais)
- 162.158.123[.]41 (sondas de login)
- 172.70.176[.]95 (criação de admin)
- 172.70.176[.]52 (tentativas de persistência)
Impacto e mitigação
O comprometimento confere controle administrativo total sobre sites afetados, com risco direto de implantação de web shells, movimentação lateral entre sites gerenciados e uso da infraestrutura para campanhas de fraude, phishing ou entrega de malware. O fornecedor lançou a versão 2.5.2 que remove o roteamento baseado em URL, adiciona um fallback 404 padrão e valida o parâmetro type (aceitando apenas request, oauth, lb) antes de vincular rotas.
Patchstack também disponibilizou uma regra de mitigação que bloqueia tentativas conhecidas de exploração. Recomendações operacionais imediatas são: atualizar para 2.5.2, ativar atualizações automáticas quando possível, escanear logs de acesso por IOCs listados, revogar e auditar administradores recém-criados e verificar a integridade de arquivos e plugins instalados.
O que falta e limites da informação
As reportagens citam detecções e IOCs, mas não há um inventário público consolidado de sites já comprometidos nem estimativa confiável do prejuízo decorrente das explorações. Também não foram divulgadas assinaturas de amostras de cargas úteis (web shells) associadas às invasões; portanto, a resposta em cada ambiente dependerá de varreduras locais e da análise de logs e artefatos.
Resumo técnico: CVE-2026-23550 permite escalada a admin sem autenticação via roteamento permissivo em /api/modular-connector/. Versões afetadas: <= 2.5.1. Corrigido em 2.5.2. Exploração confirmada em produção desde 13/01/2026.