Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

Просто добавь «origin=mo». Хакеры нашли самый ленивый способ взломать более 40000 сайтов на WordPress

leer en español

WordPress Modular DS PatchStack origin=mo
Просто добавь «origin=mo». Хакеры нашли самый ленивый способ взломать более 40000 сайтов на WordPress
WordPress Modular DS PatchStack origin=mo

Уязвимость в Modular DS позволяет получить права администратора сайта без прохождения аутентификации.

image

Критическая уязвимость была обнаружена в популярном плагине WordPress Modular DS и уже активно используется злоумышленниками в реальных атаках. Об этом сообщила компания Patchstack.

Проблема получила идентификатор CVE-2026-23550 и оценку 10.0 по шкале CVSS. Уязвимость позволяет удаленному атакующему без какой-либо аутентификации получить права администратора сайта. Она затрагивает все версии плагина до 2.5.1 включительно и была устранена в версии 2.5.2. Modular DS установлен более чем на 40 000 сайтов.

Как поясняют специалисты, в уязвимых версиях плагина присутствует сразу несколько опасных архитектурных решений. В совокупности они позволяют обходить механизмы аутентификации и автоматически входить в систему под учетной записью администратора. Ключевая роль в этом играет система маршрутизации, которая должна ограничивать доступ к чувствительным функциям, но на практике легко обходится.

Все API-маршруты плагина доступны по пути /api/modular-connector/. Защитный слой можно отключить, если отправить запрос с параметрами origin=mo и type с любым значением. В таком случае запрос считается внутренним и проходит без проверки подлинности. При этом между входящим запросом и реальным сервисом Modular отсутствует какая-либо криптографическая проверка, что делает обход защиты тривиальным.

В результате становятся доступными такие маршруты, как /login/, /server-information/, /manager/ и /backup/. Через них можно удаленно войти в систему, получить конфиденциальные данные о сервере и пользователях, а также выполнить другие опасные действия. Самый критичный сценарий связан с маршрутом /login/, который позволяет злоумышленнику получить полный административный доступ к сайту.

Patchstack сообщает, что первые атаки были зафиксированы 13 января 2026 года около 02:00 по UTC. Злоумышленники отправляли GET-запросы к /api/modular-connector/login/, после чего предпринимали попытки создать нового администратора. В атаках, по данным компании, использовались IP-адреса 45.11.89.19 и 185.196.0.11.

Получив контроль над сайтом, атакующий может внедрять вредоносный код, подменять содержимое страниц, распространять малварь или перенаправлять посетителей на фишинговые ресурсы. Фактически речь идет о полной компрометации WordPress-сайта.

На фоне активной эксплуатации пользователям Modular DS настоятельно рекомендуется как можно скорее обновить плагин до версии 2.5.2. В Patchstack подчеркивают, что этот инцидент наглядно показывает, насколько опасным может быть неявное доверие к внутренним маршрутам, если они оказываются доступны из интернета. В данном случае уязвимость возникла не из-за одной ошибки, а из-за сочетания нескольких неудачных проектных решений, которые вместе привели к критическому риску для безопасности.