Falha grave em plugin do WordPress permite invasão com acesso de administrador

Falha crítica em plugin do WordPress permite escalonamento de privilégios sem autenticação

Uma vulnerabilidade de gravidade máxima foi identificada no plugin Modular DS para WordPress, afetando todas as versões anteriores à 2.5.2. O problema, catalogado como CVE-2026-23550, permite que invasores obtenham privilégios administrativos sem autenticação, explorando falhas no mecanismo de roteamento e autenticação do plugin. Com mais de 40 mil instalações ativas, o impacto operacional é significativo, especialmente para sites que dependem do plugin para funcionalidades avançadas.

O vetor de ataque explora rotas expostas sob o prefixo "/api/modular-connector/". Ao utilizar parâmetros específicos, como "origin=mo" e "type" com qualquer valor, um atacante pode contornar as barreiras de autenticação implementadas pelo plugin. Essa abordagem permite que requisições sejam tratadas como solicitações diretas do Modular, ignorando a verificação de vínculo criptográfico entre a requisição e o sistema Modular, o que expõe rotas sensíveis como login, informações do servidor, gerenciamento e backup.

A exploração ativa da falha foi detectada em 13 de janeiro de 2026, com tentativas de criação de usuários administradores por meio de chamadas HTTP GET ao endpoint vulnerável. Esse cenário possibilita a completa tomada do site, permitindo desde a inserção de códigos maliciosos até o roubo de dados sensíveis ou redirecionamento de visitantes para páginas fraudulentas.

O caso evidencia riscos associados à confiança implícita em caminhos internos de requisições quando expostos à internet pública. A vulnerabilidade resulta de uma combinação de decisões de design, como correspondência de rotas baseada em URL, modo permissivo de requisições diretas e autenticação baseada apenas no estado de conexão do site. Para mitigar o risco, recomenda-se a atualização imediata do plugin para a versão corrigida.