Plugin WordPress Modular DS dính lỗ hổng nghiêm trọng cho phép chiếm quyền quản trị

[WhiteHat Team]

Không cần mật khẩu, không cần mã hóa, tin tặc vẫn có thể "đi thẳng" vào database và bảng điều khiển WordPress thông qua lỗ hổng nghiêm trọng trên plugin Modular DS. Đây là báo động đỏ từ Patchstack về một chiến dịch khai thác tích cực đang nhắm vào các website WordPress. Lỗ hổng cho phép bypass xác thực này đang trở thành công cụ đắc lực để tin tặc chiếm quyền điều hành tối cao mà các cơ chế bảo mật thông thường gần như bất lực.
​

Lỗ hổng được định danh là CVE-2026-23550, đạt điểm CVSS tuyệt đối 10.0, ảnh hưởng đến toàn bộ các phiên bản plugin Modular DS từ trước tới 2.5.1. Lỗi đã được khắc phục trong phiên bản 2.5.2. Theo thống kê, plugin này hiện có hơn 40.000 website đang sử dụng, khiến phạm vi ảnh hưởng trở nên đặc biệt đáng lo ngại.

Theo phân tích của Patchstack, nguyên nhân sự cố không đến từ một lỗi lập trình đơn lẻ mà là hệ quả của nhiều quyết định thiết kế thiếu chặt chẽ kết hợp lại. Trong các phiên bản bị ảnh hưởng, Modular DS tồn tại cơ chế cho phép leo thang đặc quyền do tuyến xử lý yêu cầu có thể bị truy cập trực tiếp, bỏ qua lớp xác thực và dẫn tới cơ chế tự động đăng nhập với quyền quản trị viên.

Về mặt kỹ thuật, plugin này công bố các API dưới tiền tố /api/modular-connector/, vốn được thiết kế để đặt sau hàng rào kiểm soát truy cập. Tuy nhiên, lớp bảo vệ này có thể bị vô hiệu hóa nếu kẻ tấn công gửi yêu cầu với tham số origin được đặt là mo và tham số type mang giá trị bất kỳ. Khi đó, hệ thống sẽ coi đây là một yêu cầu trực tiếp từ Modular và cho phép đi xuyên qua middleware xác thực.

Điều đáng nói là ngay khi website đã từng kết nối với Modular và tồn tại token hợp lệ, bất kỳ ai cũng có thể vượt qua lớp kiểm tra này. Không hề tồn tại mối liên kết mật mã nào giữa yêu cầu gửi đến và hệ thống Modular thực sự, khiến toàn bộ cơ chế kiểm soát truy cập trở nên vô nghĩa trước các truy vấn được chế tác thủ công.

CVE-2026-23550 này mở ra quyền truy cập vào nhiều endpoint nhạy cảm như login, server information, manager và backup. Trong đó, tuyến login cho phép kẻ tấn công đăng nhập từ xa với quyền quản trị viên, dẫn tới leo thang đặc quyền hoàn toàn. Từ đây, website có thể bị chiếm quyền kiểm soát, bị chèn mã độc, thay đổi nội dung, đánh cắp dữ liệu hoặc chuyển hướng người dùng tới các trang lừa đảo.

Patchstack cho biết các hoạt động khai thác đã được ghi nhận lần đầu vào khoảng 2 giờ sáng UTC ngày 13 tháng 1 năm 2026. Các cuộc tấn công sử dụng phương thức HTTP GET nhằm vào endpoint /api/modular-connector/login/, sau đó tiếp tục với các hành vi tạo tài khoản quản trị mới. Hai địa chỉ IP được xác định có liên quan trực tiếp đến các hoạt động này là 45.11.89.19 và 185.196.0.11.

Trước tình trạng lỗ hổng đang bị khai thác ngoài thực tế, các quản trị viên WordPress được khuyến cáo khẩn trương cập nhật plugin Modular DS lên phiên bản 2.5.2 hoặc mới hơn. Trong trường hợp chưa thể cập nhật ngay, cần cân nhắc vô hiệu hóa plugin để giảm thiểu nguy cơ bị tấn công.

Theo Patchstack, sự cố lần này là một ví dụ điển hình cho mức độ nguy hiểm của việc đặt niềm tin ngầm định vào các tuyến nội bộ khi chúng được phơi bày ra Internet công cộng. Khi xác thực chỉ dựa trên trạng thái kết nối của website, kết hợp với cơ chế yêu cầu trực tiếp quá dễ dãi và quy trình đăng nhập tự động ưu tiên tài khoản quản trị, hệ thống gần như tự mở cửa cho kẻ tấn công. Đây là bài học đáng giá không chỉ cho Modular DS mà cho toàn bộ cộng đồng phát triển plugin WordPress về tầm quan trọng của thiết kế an toàn ngay từ đầu.​

Theo The Hacker News​