Pesquisadores da Patchstack alertam para uma grave vulnerabilidade no plugin Modular DS do WordPress, identificada como CVE-2026-23550. Essa falha, que afeta as versões 2.5.1 e anteriores do plugin, permite que hackers obtenham acesso administrativo a sites, resultando em um controle total do administrador.
Impacto da Vulnerabilidade
O Modular DS é um plugin popular que possibilita o gerenciamento de múltiplos sites a partir de uma única interface. A falha de segurança, causada por problemas de projeto e implementação, pode levar a danos significativos para os proprietários de sites. O plugin aceita solicitações como “confiáveis” quando o modo “solicitação direta” está ativado, sem realizar a devida verificação criptografada da origem, permitindo que hackers se aproveitem dessa vulnerabilidade.
Como os Hackers Exploraram a Falha
Com a vulnerabilidade, um mecanismo automático de fallback para o login é acionado, permitindo que, na ausência de um ID de usuário, o plugin busque um usuário administrador e faça o login automaticamente. Essa falha possibilita que os cibercriminosos escalem privilégios e assumam o controle total do sistema.
A Resposta da Modular DS
A Modular DS, após ser notificada sobre a vulnerabilidade, lançou uma atualização para corrigir a falha. A empresa recomenda que todos os usuários atualizem o plugin o mais rápido possível para evitar novos ataques. Embora a falha já tenha sido resolvida, o alerta permanece sobre os riscos que a vulnerabilidade representa para a segurança dos sites afetados.
Opinião
A descoberta de falhas como a CVE-2026-23550 destaca a importância de manter plugins atualizados e a vigilância constante contra ameaças cibernéticas.
