- Patchstack, yönetici bypassına izin veren kritik Modular DS kusurunu (CVE-2026-23550) buldu
- Güvenlik açığı 10/10 puan aldı ve halihazırda doğada istismar ediliyor
- Satıcı, 2.5.2 sürümündeki düzeltmeyi yayımladı; kullanıcılardan derhal yükseltme yapmaları istendi
Eğer senin WordPress Web siteniz Modular DS eklentisini çalıştırıyorsa, mümkün olan en kısa sürede en son sürüme güncellemek isteyebilirsiniz.
Modüler DS popüler bir WordPress eklentisi 40.000’den fazla web sitesi tarafından kullanılır ve web sitesi yöneticilerinin birden fazla WordPress sitesini tek bir kontrol panelinden yönetmesine olanak tanır.
Ancak güvenlik araştırmacıları Patchstack yakın zamanda 2.5.1 ve daha eski versiyonlarının, birden fazla hassas rotayı açığa çıkaran ve otomatik oturum açma geri dönüş mekanizmasını etkinleştiren tasarım ve uygulama güvenlik açıklarını keşfetti.
Saldırıların kanıtı
Araştırmacılar, bu güvenlik açıklarının arasında doğrudan rota seçimi, kimlik doğrulama mekanizmalarının atlanması ve yönetici olarak otomatik oturum açmanın yer aldığını açıkladı. Sonuç olarak, kötü niyetli aktörler tüm kimlik doğrulama mekanizmalarını uzaktan atlayabilir ve ele geçirilen web sitelerine bir yönetici hesabıyla erişebilir.
Patchstacak, “Site zaten Modular’a (tokenlar mevcut/yenilenebilir) bağlanır bağlanmaz, herkes kimlik doğrulama ara katman yazılımını geçebilir: gelen istek ile Modular’ın kendisi arasında kriptografik bir bağlantı yoktur” diye açıkladı.
“Bu birkaç rotayı ortaya çıkarıyor […] uzaktan oturum açmaktan hassas sistem veya kullanıcı verilerinin edinilmesine kadar çeşitli eylemlerin gerçekleştirilmesine olanak sağlıyor.”
Güvenlik açığı artık CVE-2026-23550 olarak izleniyor ve 10/10 (kritik) önem puanı veriliyor.
Patchstack, yazısında kusurun zaten yaygın olarak kullanıldığını ve WP.one Destek Mühendisi ekibine atıfta bulunarak ilk saldırıların 13 Ocak 2026’da tespit edildiğini söyledi. Modular DS satıcısı 14 Ocak’ta (ilk saldırıların onaylanmasından bir gün sonra) bilgilendirildi ve “yalnızca birkaç saat sonra” bir düzeltmeyle geri döndü.
Düzeltme, Modular DS’yi 2.5.2 sürümüne getirdi ve kullanıcılara artık gecikmeden yükseltme yapmaları öneriliyor.
Modular DS bir güvenlik tavsiyesinde şunları söyledi: “Tüm Modular DS kurulumlarının mümkün olan en kısa sürede bu sürümü çalıştırdıklarından emin olmalarını ve aşağıdaki eylemleri tamamlamalarını şiddetle tavsiye ediyoruz.”
Tavsiye edilen eylemler arasında potansiyel uzlaşma göstergelerinin gözden geçirilmesi de yer almaktadır (bu göstergeler bulunabilir) Burada), WordPress tuzlarını yeniden oluşturmak, OAuth kimlik bilgilerini yeniden oluşturmak ve siteyi kötü amaçlı eklentiler veya dosyalara karşı taramak.
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.