Modular Ds

Hackers estão explorando uma falha de gravidade máxima no plugin Modular DS do WordPress, que permite a eles contornar a autenticação remotamente e acessar sites vulneráveis com privilégios de administrador. A falha, identificada como CVE-2026-23550, afeta as versões 2.5.1 e anteriores do plugin, que é utilizado para gerenciar múltiplos sites WordPress a partir de uma única interface. Com mais de 40.000 instalações, o plugin permite que proprietários, desenvolvedores e provedores de hospedagem monitorem sites, realizem atualizações e gerenciem usuários. Pesquisadores da Patchstack confirmaram que a exploração da falha começou em 13 de janeiro, e a Modular DS lançou uma correção na versão 2.5.2 poucas horas depois. A vulnerabilidade é causada por falhas de design que aceitam requisições como confiáveis sem uma verificação criptográfica de sua origem, permitindo uma escalada de privilégios. Os usuários são aconselhados a atualizar para a versão mais recente e revisar logs de acesso ao servidor em busca de requisições suspeitas, além de regenerar todas as chaves do WordPress após a atualização.