A népszerű WordPress-bővítmény hibája adminjogot ad a támadóknak

Több mint 40 000 WordPress-oldalt veszélyeztet az a súlyos sebezhetőség, amelyet a Modular DS nevű bővítményben fedeztek fel. A hibát kihasználva a hackerek könnyedén megkerülhetik a hitelesítést, és adminisztrátori jogosultságot szerezhetnek, így teljes hozzáférést kapnak az érintett weboldalakhoz. A Modular DS egy olyan menedzsmentbővítmény, amely lehetővé teszi több WordPress-oldal egy központi felületről történő irányítását, például frissítések kezelését, felhasználók adminisztrálását vagy karbantartási feladatok elvégzését.

Automatikus adminisztrátori bejelentkezés a támadóknak

A CVE-2026-23550 azonosítóval jelölt kritikus hibát január 13-án fedezték fel; ekkor már aktívan zajlottak a támadások. A sebezhetőség oka, hogy a bővítmény bizonyos kéréseket megbízhatónak vesz anélkül, hogy ellenőrizné azok valódi forrását, ha engedélyezett a közvetlen kérés mód. Bizonyos hívásoknál akkor is adminisztrátori szintű bejelentkezés történik, ha a kérésben nincs megadva konkrét felhasználói azonosító – ilyenkor a rendszer automatikusan kiválaszt egy létező adminisztrátort és bejelentkezteti.

Javítás és megelőzés

A Modular DS fejlesztője órákon belül kiadta a 2.5.2-es verziót, amely megszüntette a veszélyes útvonallekéréseket, és szigorúbb szűrést vezetett be. A fejlesztők minden Modular DS-felhasználónak azt ajánlják, hogy azonnal frissítsék bővítményüket. Emellett érdemes átnézni a szerver naplóállományait, ellenőrizni az adminfelhasználókat, nincsenek-e illetéktelen új adminisztrátorok, valamint a WordPress-sók újragenerálása is javasolt a legújabb verzióra váltás után.

2025, adrienne, www.bleepingcomputer.com alapján