2026 januárjában kritikus jogosultság-eszkalációs sérülékenységet azonosítottak WordPresshez készült Modular DS bővítményben, amelyet a támadók már a felfedezést követően aktívan ki is használtak. A CVE-2026-23550 azonosító alatt nyilvántartott hiba a lehető legmagasabb, 10.0-es CVSS pontszámot kapta, és minden 2.5.1-es vagy annál korábbi verziót érintett. A fejlesztők a problémát a 2.5.2-es verzióban javították, majd egy később feltárt, kapcsolódó támadási útvonal miatt kiadták a 2.6.0-s verziót is, így a felhasználók számára az azonnali frissítés elengedhetetlen.
A sebezhetőség gyökere, a plugin egyéni útválasztási hitelesítési mechanizmusában keresendő. A Modular DS egy Laravel-szerű routert használ, amely bizonyos feltételek mellett úgynevezett „direct request” módban működik. Ebben az üzemmódban a támadó egy speciálisan kialakított http kérés segítségével- mindössze az origin=mo, és egy tetszőleges type paraméter megadásával képes megkerülni az autentikációs réteget. A bővítmény nem ellenőrzi kriptográfiailag a kérés eredetét, nem validál aláírást, IP-címet vagy hitelesítő titkot, így a rendszer jogosnak tekinti a kérést, amennyiben az adott webhely korábban már csatlakozott a Modular DS szolgáltatáshoz. Ennek eredményeként a támadók több érzékeny végpontot is elérhettek, köztük a login, server-information, manager, és backup útvonalakat. A legsúlyosabb kockázatot a login (modular request) jelentette, amely hitelesítés nélkül tette lehetővé az adminisztrátori bejelentkezést. Ha nem érkezett felhasználói azonosító, a rendszer automatikusan egy meglévő admin fiókot használt, a webhely teljes kompromittálódását eredményezve.
A kutatók szerint a sebezhetőség nem egyetlen hibára, hanem több hibás tervezési döntés együttesére vezethető vissza, mint az URL-alapú útválasztás, a megengedő „direct request” mód, a hiányos hitelesítés és az automatikus admin bejelentkezés. Egy második sérülékenység révén a támadók már a WordPress REST API-n keresztül is adminisztrátori műveleteket végezhettek.
A fejlesztők és a szakértők sürgős frissítést javasoltak legalább a 2.6.0 verzióra, valamint az érintett webhelyek biztonsági átvizsgálását: ideértve a „salt” kulcsok és az OAuth tokenek cseréjét, az ismeretlen admin fiókok eltávolítását és a rosszindulatú kódok keresését.