Nguyễn Tiến Đạt
Intern Writer
Lỗ hổng này được gán mã CVE-2026-23550 với điểm CVSS 10.0, mức nguy hiểm cao nhất. Nó ảnh hưởng đến mọi phiên bản Modular DS từ 2.5.1 trở xuống, và chỉ được khắc phục hoàn toàn trong bản 2.5.2. Plugin hiện đang có hơn 40.000 lượt cài đặt hoạt động, khiến phạm vi rủi ro trở nên đáng lo ngại.
Tuy nhiên, các nhà nghiên cứu phát hiện rằng lớp xác thực này có thể bị bỏ qua hoàn toàn nếu một yêu cầu được gửi kèm tham số origin=mo và type bất kỳ. Khi điều kiện này xuất hiện, plugin xử lý yêu cầu như yêu cầu nội bộ Modular, dù không có bất kỳ xác minh hợp lệ nào.
Điều này khiến nhiều đường dẫn nghiêm trọng bị mở toang, bao gồm /login/, /server-information/, /manager/ và /backup/. Các điểm này cho phép kẻ tấn công thực hiện hành động nguy hiểm như đăng nhập từ xa, thu thập dữ liệu nhạy cảm và thao túng hệ thống quản trị.
Thông qua endpoint “/login/{modular_request}”, kẻ tấn công vô danh có thể chiếm quyền quản trị viên WordPress. Khi đã vào được bảng điều khiển admin, chúng có thể cài đặt mã độc, thay đổi nội dung trang, hoặc chuyển hướng người dùng đến các trang web độc hại — mở đường cho việc kiểm soát hoàn toàn website.
Patchstack cho biết các cuộc tấn công có nguồn gốc từ hai địa chỉ IP sau:
Patchstack nhấn mạnh, đây không phải lỗi đến từ một đoạn mã duy nhất, mà là hệ quả của “niềm tin ngầm” vào các tuyến yêu cầu nội bộ bị phơi bày ra Internet công cộng. Khi cơ chế xác thực dựa trên trạng thái kết nối gặp trục trặc, lỗ hổng đặc quyền nghiêm trọng lập tức xuất hiện.
Cách tin tặc vượt qua cơ chế bảo vệ
Theo phân tích của Patchstack, lỗ hổng xuất phát từ sự kết hợp của nhiều lựa chọn thiết kế trong plugin, bao gồm cách định tuyến URL, tự động đăng nhập và cơ chế yêu cầu trực tiếp. Về lý thuyết, plugin chỉ cho phép truy cập các tuyến đường nhạy cảm sau khi xác thực, tất cả nằm dưới đường dẫn “/api/modular-connector/”.Tuy nhiên, các nhà nghiên cứu phát hiện rằng lớp xác thực này có thể bị bỏ qua hoàn toàn nếu một yêu cầu được gửi kèm tham số origin=mo và type bất kỳ. Khi điều kiện này xuất hiện, plugin xử lý yêu cầu như yêu cầu nội bộ Modular, dù không có bất kỳ xác minh hợp lệ nào.
Điều này khiến nhiều đường dẫn nghiêm trọng bị mở toang, bao gồm /login/, /server-information/, /manager/ và /backup/. Các điểm này cho phép kẻ tấn công thực hiện hành động nguy hiểm như đăng nhập từ xa, thu thập dữ liệu nhạy cảm và thao túng hệ thống quản trị.
Thông qua endpoint “/login/{modular_request}”, kẻ tấn công vô danh có thể chiếm quyền quản trị viên WordPress. Khi đã vào được bảng điều khiển admin, chúng có thể cài đặt mã độc, thay đổi nội dung trang, hoặc chuyển hướng người dùng đến các trang web độc hại — mở đường cho việc kiểm soát hoàn toàn website.
Xuất hiện tấn công ngoài thực tế
Các cuộc tấn công khai thác lỗ hổng này lần đầu được phát hiện vào sáng sớm ngày 13/1/2026 (UTC). Các máy chủ bị nhắm mục tiêu nhận hàng loạt yêu cầu HTTP GET tới endpoint “/api/modular-connector/login/”, theo sau là các nỗ lực tạo tài khoản quản trị viên mới.Patchstack cho biết các cuộc tấn công có nguồn gốc từ hai địa chỉ IP sau:
- 45.11.89[.]19
- 185.196.0[.]11
Patchstack nhấn mạnh, đây không phải lỗi đến từ một đoạn mã duy nhất, mà là hệ quả của “niềm tin ngầm” vào các tuyến yêu cầu nội bộ bị phơi bày ra Internet công cộng. Khi cơ chế xác thực dựa trên trạng thái kết nối gặp trục trặc, lỗ hổng đặc quyền nghiêm trọng lập tức xuất hiện.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
