Kritisk sikkerhetssårbarhet i WordPress-plugin utnyttes aktivt.
Kritisk sikkerhetssårbarhet i WordPress-plugin utnyttes aktivt
En kritisk sikkerhetssårbarhet i WordPress-pluginen Modular DS utnyttes nå aktivt av angripere, ifølge sikkerhetsselskapet Patchstack.
Sårbarheten (CVE-2026-23550) har fått høyeste alvorlighetsgrad (CVSS 10.0) og gjør det mulig for uautentiserte angripere å få administratortilgang til nettsteder. Feilen finnes i alle versjoner til og med 2.5.1, og er rettet i versjon 2.5.2. Over 40 000 nettsteder bruker pluginen.
Problemet skyldes flere designvalg som sammen skaper en sikkerhetssårbarhet: Et «direct-request»-modus kan omgå autentisering ved å legge til spesifikke parametere i URL-en. Dette gir tilgang til sensitive funksjoner som innlogging og systemdata.
Angrepene ble først oppdaget 13. januar 2026, der hackere forsøkte å opprette admin-brukere via sårbare endepunkter.
Brukere oppfordres til å oppdatere umiddelbart og sjekke om nettsteder er kompromittert ved å se etter ukjente admin-kontoer eller mistenkelig aktivitet.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.