Actively exploited critical flaw in Modular DS WordPress plugin enables admin takeover
2026/01/16 SecurityAffairs — WordPress の Modular DS WordPress プラグインに存在する深刻な脆弱性 CVE-2026-23550 (CVSS 10) が、脅威アクターにより積極的に悪用されている。この脆弱性はバージョン 2.5.1 以下に影響し、認証チェックをバイパスして管理者として自動ログインすることを可能にするものである。これにより、攻撃者は Web サイトの完全な制御権を掌握できる。
Modular DS は 40,000 以上のインストール実績を持つ WordPress プラグインであり、センタライズされたダッシュボードからの監視/更新/リモート操作を通じて、マルチサイト管理に使用されている。Patchstack が公開したレポートによると、バージョン 2.5.1 以下では、直接ルート選択/認証メカニズムのバイパス/管理者としての自動ログインという複数の要因が複合的に作用することで、権限昇格が可能になるという。
このプラグインは、”/api/modular-connector/” 配下に API ルートを公開しているが、それらは auth ミドルウェアにより保護されている。しかし、欠陥のある isDirectRequest() チェックにより、認証が回避される可能性がある。具体的には、origin=mo と type パラメータを設定するだけで、署名/シークレット/IP/必須の User-Agent の検証が行われず、リクエストは信頼された “direct” リクエストとして扱われる。
リクエストが “direct” と判断された場合には、”vendor/ares/framework/src/Foundation/Auth/ModularGuard.php” に実装された auth ミドルウェアが validateOrRenewAccessToken() 関数を通じて、サイトが Modular に接続されているかどうかのみを確認する。そのため、一度 Modular に接続されたサイトは、暗号学的検証が欠如しているため、誰でも認証ミドルウェアを回避できる状態となる。その結果として、攻撃者は login/system info/backups などの機密ルートへとアクセスし、不正操作やデータ取得が可能にする。
すでにバージョン 2.5.2 がリリースされ、この問題は修正されている。この修正版では、URL ベースのルートマッチングの削除/デフォルトの 404 ルートの追加に加えて、認識されたリクエスト・タイプだけにルート・バインディングを制限するという対策が実施されている。
セキュリティ研究者によると、今回の攻撃は 2026年1月13日から開始されたという。プラグインの login API を標的として管理者アクセスを取得し、新たな管理者ユーザーを作成する活動が確認されている。攻撃は “45.11.89[.]19″/”185.196.0[.]11” という、2つの既知 IP アドレスから実施されていた。ユーザーに対して強く推奨されるのは、修正済みバージョンへの速やかなアップデートである。
Patchstack は、「この脆弱性は、内部リクエスト・パスに対する暗黙的な信頼が、パブリック・インターネットに公開された場合の、きわめて深刻な状況を示している」と述べている。
この件は、単一のバグによるものではなく、URL ベースのルートマッチング/寛容すぎる direct request モード/サイト接続状態のみに基づく認証/管理者アカウントへ自動的にフォールバックするログインフローといった、複数の設計上の選択が組み合わさった結果であると結論付けられる。
WordPress を便利に管理するためのプラグインに、きわめて深刻な脆弱性 CVE-2026-23550 が見つかりました。この問題の原因は、外部からのリクエストを、内部からの信頼できる通信だと勘違いしてしまうプログラムの不備にあります。具体的には、特定のパラメータを送るだけで、本来は必要なパスフレーズや接続元のチェックがバイパスされ、管理者の権限でログインできてしまう状態が生じています。この脆弱性と、設計上の欠陥が重なったことで、誰もがサイトを操作できてしまう、大きな問題が生まれてしまいました。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.