概要
ハッカーがModular DS WordPressプラグインの深刻な脆弱性を悪用し、リモートで認証を回避し、脆弱なサイトに管理者レベルの特権でアクセスしていることが明らかになりました。この脆弱性はCVE-2026-23550として追跡されており、バージョン2.5.1およびそれ以前のModular DSに影響を与えます。Modular DSは40,000以上のサイトにインストールされているため、広範囲での影響が懸念されています。
脆弱性の詳細
この脆弱性は、複数のWordPressサイトを単一のインターフェースから管理できるプラグイン、Modular DSに存在します。プラグインは、サイトの監視、更新、ユーザー管理、サーバー情報へのアクセス、メンテナンス作業、ログインなどをリモートで実行することを可能にします。問題は、「ダイレクトリクエスト」モードが有効な場合、その出所を暗号的に検証せずにリクエストを信頼済みとして受け入れるという、一連の設計および実装上の欠陥に起因しています。これにより、複数の機密性の高いルートが公開され、自動管理者ログインフォールバックメカニズムが活性化されます。
攻撃手法
特に危険なのは、リクエストボディに特定のユーザーIDが提供されない場合、プラグインが既存の管理者またはスーパー管理者ユーザーを取得し、そのユーザーとして自動的にログインしてしまう点です。Patchstackの研究者によると、「コントローラ src/app/Http/Controllers/AuthController.php の getLogin(SiteRequest $modularRequest) メソッドでは、コードが $modularRequest のボディからユーザーIDを読み取ろうとします。このコードは、前述の欠陥のために非認証ユーザーがアクセスできるため、即座に特権昇格が可能になります」と説明されています。
実際の攻撃と発見
Patchstackの研究者によると、CVE-2026-23550は現在も活発に悪用されています。最初の攻撃は2026年1月13日午前2時頃(UTC)に検出されました。Patchstackは脆弱性を確認した後、翌日にはベンダーに連絡を取りました。
対策と推奨事項
Modular DSの開発元は、脆弱性が報告されてからわずか数時間後にバージョン2.5.2で修正をリリースしました。このパッチでは、URLベースのルートマッチングが削除され、検証済みのフィルタロジックによって完全に制御されるようになりました。また、デフォルトの404ルートが追加され、ルートバインディングには「type」値のみが認識され、認識されないリクエストに対しては安全な失敗モードが含まれるようになりました。
Modular DSのユーザーは、できるだけ早くバージョン2.5.2以降にアップグレードすることが強く推奨されます。ベンダーはセキュリティ警告の中で、疑わしいリクエストがないかサーバーアクセスログを確認し、不正な管理者ユーザーが追加されていないかチェックし、最新バージョンに更新した後、すべてのWordPressソルトを再生成するようにアドバイスしています。