Solo añade "origin=mo": hackers descubren la forma más perezosa de hackear sitios en WordPress
Vulnerabilidad en Modular DS permite acceder como administrador del sitio sin autenticarse
Se ha descubierto una vulnerabilidad crítica en el popular plugin de WordPress Modular DS y ya está siendo explotada activamente por atacantes en ataques reales. De ello informó la empresa Patchstack.
El problema recibió el identificador CVE-2026-23550 y una puntuación de 10.0 en la escala CVSS. La vulnerabilidad permite a un atacante remoto, sin ninguna autenticación, obtener privilegios de administrador del sitio. Afecta a todas las versiones del plugin hasta la 2.5.1 inclusive y se corrigió en la versión 2.5.2. Modular DS está instalado en más de 40.000 sitios.
Como explican los especialistas, en las versiones vulnerables del plugin existen varias decisiones arquitectónicas peligrosas. En conjunto permiten eludir los mecanismos de autenticación y entrar automáticamente en el sistema con la cuenta de administrador. Un papel clave lo desempeña el sistema de enrutamiento, que debería restringir el acceso a funciones sensibles, pero en la práctica es fácil de eludir.
Todas las rutas de la API del plugin están disponibles en /api/modular-connector/. La capa de protección puede desactivarse si se envía una solicitud con los parámetros origin=mo y type con cualquier valor. En ese caso la solicitud se considera interna y pasa sin verificación de autenticidad. Además, no existe ninguna verificación criptográfica entre la solicitud entrante y el servicio real de Modular, lo que hace que eludir la protección sea trivial.
Como resultado, quedan accesibles rutas como /login/, /server-information/, /manager/ y /backup/. A través de ellas es posible iniciar sesión de forma remota, obtener datos confidenciales del servidor y de los usuarios, así como ejecutar otras acciones peligrosas. El escenario más crítico está relacionado con la ruta /login/, que permite al atacante obtener acceso administrativo completo al sitio.
Patchstack informa que los primeros ataques se registraron el 13 de enero de 2026 alrededor de las 02:00 UTC. Los atacantes enviaron solicitudes GET a /api/modular-connector/login/, tras lo cual intentaron crear un nuevo administrador. En los ataques, según la empresa, se utilizaron las direcciones IP 45.11.89.19 y 185.196.0.11.
Tras obtener el control del sitio, el atacante puede insertar código malicioso, modificar el contenido de las páginas, distribuir malware o redirigir a los visitantes a recursos de phishing. En la práctica se trata de una compromisión total de un sitio WordPress.
Ante la explotación activa, se recomienda encarecidamente a los usuarios de Modular DS actualizar el plugin a la versión 2.5.2 lo antes posible. Patchstack subraya que este incidente muestra claramente cuán peligroso puede ser confiar implícitamente en rutas internas si estas son accesibles desde Internet. En este caso la vulnerabilidad no surgió por un único error, sino por la combinación de varias decisiones de diseño fallidas que, en conjunto, condujeron a un riesgo crítico para la seguridad.