Automatikus adminisztrátori bejelentkezés a támadóknak
A CVE-2026-23550 azonosítóval jelölt kritikus hibát január 13-án fedezték fel; ekkor már aktívan zajlottak a támadások. A sebezhetőség oka, hogy a bővítmény bizonyos kéréseket megbízhatónak vesz anélkül, hogy ellenőrizné azok valódi forrását, ha engedélyezett a közvetlen kérés mód. Bizonyos hívásoknál akkor is adminisztrátori szintű bejelentkezés történik, ha a kérésben nincs megadva konkrét felhasználói azonosító – ilyenkor a rendszer automatikusan kiválaszt egy létező adminisztrátort és bejelentkezteti.
Javítás és megelőzés
A Modular DS fejlesztője órákon belül kiadta a 2.5.2-es verziót, amely megszüntette a veszélyes útvonallekéréseket, és szigorúbb szűrést vezetett be. A fejlesztők minden Modular DS-felhasználónak azt ajánlják, hogy azonnal frissítsék bővítményüket. Emellett érdemes átnézni a szerver naplóállományait, ellenőrizni az adminfelhasználókat, nincsenek-e illetéktelen új adminisztrátorok, valamint a WordPress-sók újragenerálása is javasolt a legújabb verzióra váltás után.
