WordPress-sites aangevallen via kritiek lek in plug-in Modular DS

In dit artikel:

Aanvallers misbruikten actief een kritische fout in de WordPress-plug-in Modular DS, waarmee ze zonder inloggegevens adminrechten konden krijgen en sites konden overnemen. Securitybedrijf Patchstack ontdekte op 14 januari exploitatie in het wild (CVE-2026-23550) en meldde de kwetsbaarheid aan de ontwikkelaar; ongeveer anderhalf uur later verscheen een beveiligingsupdate. De kwetsbaarheid kreeg de hoogste impactscore (10.0). Modular DS, gebruikt voor updates, monitoring, backups en database-optimalisatie, staat op meer dan 30.000 sites.

Hoewel inmiddels een patch beschikbaar is en door circa 35.000 sites is geïnstalleerd, waarschuwen de ontwikkelaars dat updaten alleen niet genoeg is. Beheerders moeten logs nalopen op verdachte requests, controleren of er geen onbekende admin-accounts zijn, WordPress-salts en OAuth-credentials vernieuwen en zoeken naar malafide plug-ins. Sites waarvan het niet zeker is of ze zijn aangetast, dienen meteen te controleren en zo nodig herstelmaatregelen te nemen.