Se gere um site baseado em WordPress e utiliza o plugin Modular DS para facilitar a gestão, é altura de parar tudo o que está a fazer e verificar as atualizações. Uma nova falha de segurança de gravidade máxima está a ser ativamente explorada por hackers, permitindo-lhes assumir o controlo total dos sites vulneráveis sem precisarem de qualquer palavra-passe.
A vulnerabilidade, identificada como CVE-2026-23550, afeta as versões 2.5.1 e anteriores do Modular DS. Este plugin é uma ferramenta popular, com mais de 40.000 instalações ativas, utilizada por programadores e empresas de alojamento para gerir múltiplos sites WordPress a partir de uma única interface, permitindo atualizações remotas, gestão de utilizadores e manutenção.
O problema é grave porque permite contornar a autenticação remotamente. Segundo os investigadores da Patchstack, os ataques começaram a ser detetados no dia 13 de janeiro, demonstrando que os agentes maliciosos estão atentos e rápidos a tirar partido desta brecha.
Como funciona o ataque
A falha reside numa série de erros de design e implementação no código do plugin. O sistema aceitava pedidos como "confiáveis" quando um modo de "pedido direto" estava ativado, mas falhava em realizar uma verificação criptográfica da origem desse pedido.
Este comportamento expõe rotas sensíveis e ativa um mecanismo automático de login de administrador. O mais alarmante é a simplicidade da exploração: se nenhum ID de utilizador específico for fornecido no corpo do pedido, o plugin procura um utilizador com privilégios de administrador ou super administrador existente e faz o login automaticamente como esse utilizador.
Basicamente, o código tenta ler um ID de utilizador a partir do pedido e, devido à falha de validação, qualquer pessoa não autenticada consegue aceder a esta função, resultando numa escalada de privilégios imediata e total.
Correção já disponível
A boa notícia é que a equipa por trás do Modular DS agiu rapidamente. Após serem notificados pela Patchstack, lançaram uma correção apenas algumas horas depois. A versão 2.5.2 do plugin remove a correspondência de rotas baseada em URL que causava o problema. O sistema é agora gerido por uma lógica de filtro validada e inclui um modo de falha seguro para pedidos não reconhecidos.
É imperativo que todos os utilizadores do Modular DS atualizem para a versão 2.5.2 ou superior o mais rapidamente possível.
Além da atualização, e conforme detalhado no boletim de segurança oficial, recomenda-se que os administradores revejam os registos de acesso ao servidor em busca de atividades suspeitas, verifiquem se existem novas contas de administrador desconhecidas e regenerem os "salts" do WordPress para invalidar sessões antigas.
Nenhum comentário
Seja o primeiro!