Les chercheurs en sécurité ont confirmé l’exploitation de la faille mx-severity, permettant à des acteurs non authentifiés d’obtenir un accès administrateur complet sur les sites vulnérables.
Les chercheurs en sécurité ont confirmé l’exploitation active d’une faille d’élévation de privilèges de gravité maximale dans le plugin Modular DS largement utilisé, un outil utilisé pour surveiller, mettre à jour et gérer plusieurs sites WordPress à partir d’une seule console.
Le bug, identifié comme CVE-2026-23550, s’est vu attribuer un score CVSS de 10,0 pour sa capacité à permettre à un attaquant non authentifié d’obtenir un accès administrateur complet sur des milliers de sites vulnérables.
Révélée par la société de sécurité WordPress Patchstack, la faille affecte les versions 2.5.1 et antérieures de Modular DS, permettant aux attaquants d’augmenter leur accès sans informations d’identification en appelant certaines routes API non protégées par la logique de routage du plugin.
L’exploitation a déjà été repérée dans la nature, avec quelques intrusions conduisant à des sessions d’administration WordPress, avant qu’une mise à jour corrigée ne soit disponible pour les utilisateurs.
Un exploit réussi accorde des droits d’administrateur
La vulnérabilité réside dans la façon dont Modular DS gère les requêtes en interne. Le plugin expose un ensemble de routes de style REST sous un préfixe « /api/modular-connector/ » qui sont censées être protégées par un middleware d’authentification. Mais en raison d’un oubli dans la logique de gestion des routes, en particulier dans le mécanisme isDirectRequest(), certaines requêtes contournent complètement l’authentification lorsque des paramètres spécifiques sont présents.
Cela signifie qu’un attaquant qui peut atteindre le point de terminaison concerné peut, dans une seule requête spécialement conçue, amener le plugin à le traiter comme s’il s’agissait d’une connexion de site authentifiée légitime. Cela, à son tour, ouvre l’accès à des routes sensibles, y compris /login/, accordant des privilèges d’administrateur instantanés ou la possibilité d’énumérer les utilisateurs et les données du site sans avoir besoin d’un mot de passe.
Modular DS est une plateforme de gestion de site, l’outil même que de nombreuses agences et développeurs utilisent pour gagner du temps dans l’administration de leurs sites WordPress. La logique défectueuse dans les mécanismes de routage et d’authentification du plugin expose tous ses utilisateurs à des attaques potentielles.
Atténuations
La bonne nouvelle est qu’un correctif existe. Le fournisseur du plugin a publié la version 2.5.2 de Modular DS le 14 janvier 2026, peu de temps après que la vulnérabilité ait été confirmée et attribué son identifiant CVE. Patchstack a également publié des règles d’atténuation qui peuvent bloquer l’exploitation si elles sont appliquées avant l’application des correctifs.
« Dans la version 2.5.1, la route a d’abord été mise en correspondance en fonction de l’URL contrôlée par l’attaquant », ont déclaré les chercheurs de Patchstack dans un article de blog. « Dans la version 2.5.2, la correspondance de route basée sur l’URL a été supprimée. Le routeur ne fait plus correspondre les routes de ce sous-système en fonction du chemin demandé, et la sélection de route est désormais entièrement pilotée par la logique de filtrage. »
Cependant, plus de 40 000 installations WordPress restent menacées si elles ne sont pas mises à jour. Étant donné que l’attaque ne nécessite pas d’authentification ni même d’interaction de l’utilisateur, tout site accessible au public exécutant une version vulnérable du plugin pourrait être automatiquement compromis par des outils d’analyse et d’exploitation automatisés.
Les chercheurs ont noté que des modèles d’exploitation sont apparus dès le 13 janvier, ce qui suggère que les acteurs de la menace enquêtaient sur le Web avant même la mise en ligne de l’avis.
« La version 2.5.2 du plugin Modular DS Connector inclut un correctif de sécurité important corrigeant une vulnérabilité critique », a déclaré le fournisseur dans un avis. « Nous recommandons fortement à toutes les installations de Modular DS de s’assurer qu’elles exécutent cette version dès que possible. » Outre une mise à jour, quelques mesures de protection que les utilisateurs peuvent prendre incluent la vérification des comptes d’administrateur malveillants, le renforcement des contrôles de sécurité de WordPress en mettant en œuvre une authentification à deux facteurs (2FA) et des restrictions IP.
