Account admin compromessi: exploit attivo colpisce il plugin Modular DS di WordPress

È stata identificata una vulnerabilità di sicurezza di elevata gravità nel plugin WordPress “Modular DS (Modular Connector)” e numerosi report di sicurezza suggeriscono che questa vulnerabilità venga sfruttata in attacchi reali. La vulnerabilità è identificata come CVE-2026-23550 e ha ricevuto un punteggio di 10 su 10, poiché consente l’acquisizione di privilegi di amministratore remoti non autenticati.

Questo vuol dire che il suo sfruttamento potrebbe consentire agli aggressori di assumere il controllo degli account amministratore e di eseguire ulteriori attività dannose, e raccomanda aggiornamenti urgenti e controlli di sicurezza per potenziali violazioni.

Modular DS è un plugin simile a un connettore che gestisce da remoto più siti WordPress. Sebbene offra il vantaggio di aumentare l’efficienza operativa, il rischio di danni significativi è elevato, poiché l’intero sito potrebbe essere compromesso se le funzioni di gestione cadessero nelle mani di un aggressore. In particolare, i privilegi di amministratore di WordPress possono essere utilizzati per modificare utenti, plugin, temi, impostazioni e, in alcuni casi, persino file. Pertanto, il furto di questi privilegi può portare al controllo completo del sito.

Il punto cruciale di questa vulnerabilità è che la struttura di routing del percorso API esposto dal plugin e il modo in cui gestisce l’autenticazione possono neutralizzare efficacemente la barriera di autenticazione. Secondo il rapporto, il plugin è stato progettato per proteggere determinati percorsi dal middleware di autenticazione, ma se veniva attivata una modalità classificata come “richiesta diretta” e veniva inviata una richiesta con determinati parametri, si verificava un problema per cui era possibile accedere al percorso protetto senza passare attraverso il normale processo di autenticazione.

In altre parole, non esisteva alcuna “prova crittografica” per verificare che la richiesta provenisse effettivamente da un sistema interno attendibile e, se il sito era già connesso a un sistema di gestione esterno ed esisteva un token, l’attaccante aveva maggiori probabilità di bypassare il processo di autenticazione.

Questa vulnerabilità interessa le versioni 2.5.1 e precedenti, e una correzione è stata rilasciata nella versione 2.5.2. Sottolineano inoltre che il solo aggiornamento non è sufficiente; è essenziale un controllo di sicurezza completo per potenziali compromissioni. Se un aggressore ha già ottenuto privilegi amministrativi, è difficile escludere la possibilità che abbia causato danni aggiuntivi modificando plugin e temi o installando file dannosi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Manuel Roccon

Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.

Aree di competenza: Ethical Hacking, Bug Hunting, Penetration Testing, Red Teaming, Security Research, Cybersecurity Communication