Peretas Eksploitasi Celah Plugin WordPress Modular DS untuk Akses Admin
Pelaku kejahatan siber dilaporkan активно mengeksploitasi celah keamanan dengan tingkat keparahan maksimum pada plugin Modular DS untuk WordPress. Kerentanan ini memungkinkan penyerang melewati proses autentikasi dari jarak jauh dan mengambil alih situs yang rentan dengan hak akses setingkat administrator.
Celah tersebut dilacak sebagai CVE-2026-23550 dan berdampak pada Modular DS versi 2.5.1 dan lebih lama. Modular DS merupakan plugin manajemen yang dirancang untuk mengelola banyak situs WordPress dari satu antarmuka terpusat. Fungsinya mencakup pemantauan situs, pembaruan sistem, pengelolaan pengguna, akses informasi server, pelaksanaan tugas pemeliharaan, hingga proses login jarak jauh. Plugin ini tercatat memiliki lebih dari 40.000 instalasi aktif.
Menurut peneliti keamanan dari Patchstack, kerentanan ini sudah dieksploitasi secara aktif di alam liar. Serangan pertama terdeteksi pada 13 Januari sekitar pukul 02.00 UTC. Setelah mengonfirmasi temuan tersebut, Patchstack segera menghubungi pengembang Modular DS, yang kemudian merilis pembaruan keamanan dalam versi 2.5.2 hanya beberapa jam setelah laporan diterima.
Analisis teknis menunjukkan bahwa kerentanan ini berasal dari kombinasi kesalahan desain dan implementasi. Salah satu masalah utamanya adalah mekanisme “direct request” yang menerima permintaan sebagai tepercaya tanpa melakukan verifikasi kriptografis atas asal permintaan tersebut. Kondisi ini membuka sejumlah rute sensitif dan secara tidak langsung mengaktifkan mekanisme login admin otomatis sebagai jalur cadangan.
Dalam skenario eksploitasi, jika permintaan yang dikirim penyerang tidak menyertakan ID pengguna tertentu di dalam request body, plugin secara otomatis mencari akun administrator atau super admin yang sudah ada. Sistem kemudian langsung masuk menggunakan akun tersebut tanpa proses autentikasi tambahan, sehingga penyerang memperoleh eskalasi hak akses secara instan.
Patchstack menjelaskan bahwa logika ini berada pada pengendali autentikasi di dalam kode plugin. Karena jalur tersebut dapat diakses oleh pengguna yang belum terautentikasi akibat celah sebelumnya, penyerang dapat langsung meningkatkan hak akses mereka ke level tertinggi hanya dengan satu permintaan berbahaya.
Pembaruan Modular DS versi 2.5.2 memperbaiki masalah ini dengan menghapus pencocokan rute berbasis URL dan menggantinya dengan logika filter yang tervalidasi. Selain itu, pembaruan juga menambahkan rute default 404, membatasi nilai tipe rute yang dikenali, serta menerapkan mekanisme kegagalan aman untuk permintaan yang tidak valid.
Pengguna Modular DS sangat disarankan untuk segera memperbarui plugin ke versi 2.5.2 atau yang lebih baru. Selain melakukan pembaruan, pengembang plugin juga menyarankan agar administrator meninjau log akses server untuk mendeteksi permintaan mencurigakan, memeriksa daftar akun admin untuk memastikan tidak ada penambahan ilegal, serta melakukan regenerasi seluruh WordPress salts demi mengamankan sesi dan kredensial pengguna.
Kasus ini kembali menegaskan pentingnya pembaruan rutin plugin WordPress, terutama bagi alat manajemen jarak jauh yang memiliki akses luas terhadap banyak situs sekaligus. Keterlambatan melakukan pembaruan dapat membuka pintu bagi kompromi skala besar dalam waktu singkat.
