Resumen
⚠ Crítica · CVSS 10.0 · Explotación activa confirmada Qué está pasando El 9 de febrero de 2026, VenCERT publicó un aviso…
⚠ Crítica · CVSS 10.0 · Explotación activa confirmada
Qué está pasando
El 9 de febrero de 2026, VenCERT publicó un aviso sobre una vulnerabilidad crítica en el plugin Modular DS / Modular Connector para WordPress (CVE-2026-23550), con CVSS 10.0, que permite a un atacante obtener acceso de administrador sin autenticarse.
No es teórica: se reporta explotación activa in the wild.
El vector técnico (sin humo)
El plugin expone rutas bajo el prefijo:
/api/modular-connector/Existe una forma de activar un modo de “solicitud directa” simplemente añadiendo parámetros como:
origin=motype=<cualquier_valor>
Esto hace que el plugin trate la petición como si viniera de la plataforma legítima, saltándose el middleware de autenticación. Después, rutas como /login/ pueden provocar auto-login como admin en sitios ya conectados (tokens presentes o renovables).
Fechas clave
| Evento | Fecha |
|---|---|
| Primeras detecciones de explotación | 13 enero 2026 (~02:00 UTC) |
| Publicación CVE / avisos iniciales | 14 enero 2026 |
| Parche inicial (2.5.2) | Enero 2026 |
| Actualización requerida (2.6.0) | Posterior a investigación adicional |
Versiones afectadas
Todas las versiones hasta e incluyendo la 2.5.1.
Impacto real si te lo explotan
- Acceso como administrador
- Creación de cuentas admin nuevas
- Persistencia mediante plugins, temas o backdoors
- Modificación de contenido (SEO poisoning) o redirección de tráfico
- Control total del WordPress
Indicadores de compromiso (IoC) a revisar
- Logs de acceso con user agents automatizados:
Python-urllib,curl,Go-http-client - Cuentas admin nuevas con patrones raros (p.ej. correos terminados en
@example.com) - Cambios inesperados en archivos o credenciales
- Llamadas a
/api/modular-connector/login/seguidas de intentos de creación de usuarios admin
Patchstack reportó IPs origen observadas en ataques. Si gestionas muchos sitios, contrasta tus logs contra esas IPs.
Qué hacer ahora (paso a paso)
- Actualiza el plugin ya
Mínimo: 2.5.2 · Recomendado por el vendor: 2.6.0 (REQUIRED) - Regenera las WordPress salts
Invalida todas las sesiones activas y corta sesiones robadas. - Regenera credenciales OAuth y reconecta sitios (si aplica)
- Audita administradores
Elimina cuentas sospechosas y revisa cambios recientes de rol/usuarios. - Escanea archivos y plugins por malware
Herramientas como Imunify detectan añadidos maliciosos. - (Extra defensivo) Restringe el endpoint
Si operas muchas webs, plantea restringir acceso a/api/modular-connector/por IP, VPN o WAF mientras terminas de revisar.
Por qué esto importa si gestionas varias webs
Hubo explotación activa. El vector fue bypass de autenticación en rutas del conector. Si gestionas muchas webs con Modular DS, esto es exactamente el tipo de incidente que te revienta la semana si no tienes visibilidad operativa.
Con Vulnity puedes detectar señales como:
- Picos de intentos de acceso anómalos
- Creación de usuarios admin no autorizada
- Cambios críticos en archivos
- Accesos fuera de patrón
Y generar un timeline e informe para demostrar al cliente qué se evitó y qué se hizo. Sin postureo, con datos.
Sobre Vulnity
Si gestionas un WordPress, situaciones como la descrita en este artículo son más comunes de lo que parece. Vulnity monitoriza tu instalación en tiempo real y te avisa antes de que ocurran.
