Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de plug-in Modular DS voor het aanvallen en overnemen van WordPress-sites. Een beveiligingsupdate is inmiddels beschikbaar, maar het beveiligingslek werd al voor het uitkomen van de patch misbruikt, zo meldt securitybedrijf Patchstack. Beheerders en websites die van de plug-in gebruikmaken zijn opgeroepen om te controleren of hun website niet al is gehackt.

Modular DS is een plug-in voor het beheer en monitoren van WordPress-sites. Het maakt het mogelijkk om plug-ins, themes en WordPress zelf te updaten, uptime en prestaties van de website te monitoren, back-ups te maken, database-optimalisaties door te voeren en nog een aantal andere zaken. Ruim dertigduizend websites hebben de plug-in geïnstalleerd.

Het beveiligingslek, aangeduid als CVE-2026-23550, maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en als admin in te loggen. Zodoende kan er volledige controle over de website worden verkregen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Patchstack ontdekte op 14 januari aanvallen waarbij het lek werd misbruikt en rapporteerde de kwetsbaarheid vervolgens aan de ontwikkelaar. Die kwam anderhalf uur later al met een update.

Sinds het uitbrengen van de beveiligingsupdate is die door 35.000 websites geïnstalleerd. Het installeren van de patch alleen is niet voldoende. De ontwikkelaars roepen gebruikers op om na de installatie van de update hun logbestanden op verdachte requests te controleren en de naar de bestaande admin-gebruikers te kijken of daar geen onverwachte admins tussenzitten. Verder wordt aangeraden om WordPress salts en OAuth credentials opnieuw te genereren en de website op de aanwezigheid van malafide plug-ins te controleren.