Falha no plugin Modular DS dá acesso de admin ao site
Falha no plugin Modular DS coloca mais de 40 mil sites WordPress em risco: o CVE-2026-23550 (pontuação 10.0 no CVSS) permite que qualquer visitante escale privilégios e se logue como administrador.
O que causa a vulnerabilidade
De acordo com a Patchstack, todas as versões do plugin até a 2.5.1 contêm um mecanismo de routing que deveria proteger rotas sensíveis sob o prefixo “/api/modular-connector/”. Porém, quando o modo “direct request” está habilitado e os parâmetros “origin=mo&type=qualquer” são enviados, a camada de autenticação é ignorada. Resultado: rotas como /login/, /server-information/, /manager/ e /backup/ ficam abertas para qualquer pessoa.
Com isso, um invasor pode chamar /login/{modular_request}, assumir a sessão do administrador e alterar todo o site — de injetar malware a redirecionar usuários para golpes.
Ataques já identificados
Os primeiros ataques foram registrados em 13 de janeiro de 2026, às 2h (UTC), com requisições GET ao endpoint citado e, na sequência, tentativas de criar novas contas admin. Os IPs maliciosos mapeados até agora são 45.11.89.19 e 185.196.0.11.
Detalhes técnicos adicionais podem ser conferidos na análise publicada pelo portal de cibersegurança The Hacker News, que reforça a gravidade da falha e a necessidade de atualização imediata.
Imagem: Internet
Como se proteger agora
A única correção está na versão 2.5.2 do Modular DS. Admins devem atualizar o plugin sem demora, revisar registros de acesso em busca de usuários suspeitos e, se possível, redefinir senhas e tokens de API ligados ao site. Desabilitar o modo “direct request” e limitar acessos ao diretório “/api/” via .htaccess são medidas extras recomendadas.
Manter plugins em dia é etapa crítica de qualquer setup de alto desempenho — seja para gamers, criadores de conteúdo ou profissionais de home office. Para acompanhar outras dicas de segurança e performance, visite nossa página principal.
Crédito da imagem: The Hacker News Fonte: The Hacker News
