WordPress 플러그인 'Modular DS'의 심각한 보안 취약점이 공격자가 관리자 접근 권한을 획득할 수 있도록 활성화된 공격을 받고 있습니다.
WordPress 플러그인 'Modular DS'
공격자는 플러그인의 라우팅 메커니즘을 이용하여 인증을 우회하고 관리자 접근 권한을 획득할 수 있습니다.
플러그인 사용자는 가능한 한 빨리 패치된 버전으로 업데이트해야 하며, 사이트가 공격을 받았는지 확인하고, 필요 시 위험한 플러그인, 파일, 코드를 삭제해야 합니다.
웹 보안 / 취약점 2026년 1월 15일
WordPress 플러그인 'Modular DS'의 심각한 보안 취약점이 공격자가 관리자 접근 권한을 획득할 수 있도록 활성화된 공격을 받고 있습니다. 취약점은 CVE-2026-23550로 추적되며, CVSS 점수는 10.0입니다. 취약점은 플러그인의 버전 2.5.1 이하에 존재하며, 버전 2.5.2에서 패치되었습니다. 플러그인은 40,000 이상의 활성 설치를 보유하고 있습니다.
"버전 2.5.1 이하의 플러그인은 권한 상승 공격에 취약합니다. 이는 라우팅 메커니즘, 인증 메커니즘 우회, 관리자 로그인에 대한 자동 로그인 등 여러 요인으로 인해 발생합니다." Patchstack는 설명했습니다.
플러그인의 라우팅 메커니즘은 인증을 우회할 수 있는 취약점을 가지고 있습니다. 플러그인은 "/api/modular-connector/" 접두사를 가진 라우팅을 노출합니다. 그러나 "직접 요청" 모드가 활성화된 경우, "origin" 매개변수를 "mo"로 설정하고 "type" 매개변수를 임의의 값으로 설정하면 인증을 우회할 수 있습니다. 이로 인해 요청이 모듈러 직접 요청으로 처리됩니다.
"따라서 사이트가 모듈러와 연결되어 있으면 (토큰이 존재하거나 갱신 가능하다면), 인증 미들웨어를 우회할 수 있습니다. incoming 요청과 모듈러 자체 사이에는 암호학적 연결이 없습니다." Patchstack는 설명했습니다.
이 취약점으로 인해 공격자는 "/login/{modular_request}" 라우팅을 이용하여 관리자 접근 권한을 획득할 수 있습니다. 이는 권한 상승 공격을 유발하며, 공격자가 사이트를 완전히 장악할 수 있도록 허용합니다. 공격자는 악성 코드를 삽입하거나 사용자를 유도하여 사기를 당하게 할 수 있습니다.
Patchstack는 취약점이 2026년 1월 13일 2시 UTC에 처음 감지되었으며, HTTP GET 호출을 통해 "/api/modular-connector/login/" 엔드포인트에 접근한 후 관리자 계정을 생성하려고 시도했습니다. 공격은 다음과 같은 IP 주소에서 발생했습니다.
플러그인 사용자는 가능한 한 빨리 패치된 버전으로 업데이트해야 하며, 사이트가 공격을 받았는지 확인하고, 필요 시 위험한 플러그인, 파일, 코드를 삭제해야 합니다. "이 취약점은 내부 요청 경로에 대한 암묵적인 신뢰가 공개 인터넷에 노출될 때 얼마나 위험한지 보여줍니다." Patchstack는 설명했습니다.
"이 문제는 단일 버그가 아닌, 여러 디자인 선택이 결합된 결과입니다. URL 기반 라우팅 매칭, 허용된 '직접 요청' 모드, 사이트 연결 상태에 기반한 인증, 관리자 로그인 흐름의 자동 로그인 등입니다." 플러그인 유지자는 설명했습니다.