Vulnerabilidad crítica en plugin de WordPress permite acceso inmediato como administrador

Una vulnerabilidad crítica de escalada de privilegios sin autenticación ha sido detectada en el plugin Modular DS para WordPress, permitiendo a atacantes obtener acceso inmediato como administrador. Lo más grave del caso es que la explotación ya está ocurriendo activamente en Internet, afectando a más de 40.000 sitios WordPress.

La falla ha sido catalogada con CVSS 10.0 (Crítica) y ya cuenta con un CVE asignado, lo que ha llevado a Patchstack y al desarrollador del plugin a emitir parches y mitigaciones urgentes.

¿Qué es Modular DS y por qué es crítico?

Modular DS es un plugin desarrollado por modulards.com que permite la gestión remota de múltiples sitios WordPress, incluyendo:

• Monitoreo

• Actualizaciones

• Backups

• Acciones administrativas centralizadas

Este tipo de plugins, por su naturaleza, manejan privilegios elevados, por lo que cualquier fallo de seguridad tiene un impacto severo.

Detalles técnicos de la vulnerabilidad

Según el análisis de Patchstack, el problema reside en el router tipo Laravel expuesto en la ruta:

/api/modular-connector/

🔥 Vector de ataque

Los atacantes pueden forzar el modo “direct request” enviando solicitudes con los parámetros:

• origin=mo

• type= (cualquier valor)

Si el sitio está conectado a los servicios de Modular DS, esto permite evadir completamente el middleware de autenticación.

🚨 Acceso directo como administrador

Una vez eludida la autenticación, quedan expuestas rutas internas protegidas, como:

/login/{modular_request}

En esta ruta, el controlador AuthController ejecuta el método getAdminUser() que:

• Inicia sesión automáticamente

• Selecciona un usuario administrador

• No valida identidad, firmas, secretos ni IPs

El resultado es control total del sitio, permitiendo desde instalación de plugins maliciosos hasta persistencia mediante backdoors.

Información del CVE

Explotación activa en Internet (In the Wild)

Patchstack confirmó que los ataques comenzaron el 13 de enero de 2026, alrededor de las 02:00 AM UTC.

📌 Indicadores de ataque

• Endpoint atacado:

/api/modular-connector/login/

• Parámetros comunes:

origin=mo&type=foo

🧨 Comportamiento post-explotación

• Creación de usuarios administradores falsos

• Nombres detectados: “PoC Admin”

• Correos electrónicos inexistentes

• Instalación de mecanismos de persistencia

Indicadores de compromiso (IOCs)

👉 Revisar logs de acceso y eventos de WordPress si alguna de estas IPs aparece.

Solución implementada en Modular DS 2.5.2

La versión 2.5.2 introduce cambios clave de seguridad:

• Eliminación del matching dinámico de rutas por URL

• Implementación de fallback 404 por defecto

• Validación estricta del parámetro type:

  • request

  • oauth

  • lb

• Bloqueo automático mediante reglas de Patchstack

Estos cambios evitan el abuso del router interno y refuerzan el control de acceso.

Recomendaciones urgentes para administradores WordPress

✅ Acciones inmediatas

1. Actualizar Modular DS a la versión 2.5.2 inmediatamente

2. Habilitar actualizaciones automáticas para plugins críticos

3. Auditar usuarios administradores:

   • Eliminar cuentas sospechosas

4. Revisar logs HTTP y de WordPress

5. Rotar credenciales y claves si hay indicios de compromiso

🛡️ Buenas prácticas adicionales

• Evitar exponer APIs internas sin validación criptográfica

• Usar WAF o plugins de seguridad con reglas activas

• Limitar plugins de gestión remota

• Aplicar el principio de mínimo privilegio

Conclusión

Este incidente vuelve a dejar en evidencia un problema recurrente en el ecosistema WordPress: plugins con lógica interna demasiado permisiva y expuesta públicamente. Una sola validación mal implementada puede derivar en el compromiso total del sitio.

👉 Si utilizás Modular DS, actualizá ya.

👉 Si administrás WordPress en producción, auditá tus plugins y accesos regularmente.

La seguridad no falla por falta de parches, sino por no aplicarlos a tiempo.