CRITICAL✓ PATCH🇬🇧 English

CVE-2026-23800

Privilege Escalation w pluginie WordPress Modular DS (modular-connector)

CVSS 10.0v3.1pub. 2026-01-16upd. 2026-04-15

Podatność nieprawidłowego przypisania uprawnień w pluginie Modular DS dla WordPress umożliwia atakującemu privilege escalation. Otrzymała maksymalny wynik CVSS 10.0, co wskazuje na krytyczny poziom zagrożenia bez wymagania jakiejkolwiek autoryzacji.

Pokaż oryginał (EN)

Incorrect Privilege Assignment vulnerability in Modular DS modular-connector allows Privilege Escalation.This issue affects Modular DS: from 2.5.2 before 2.6.0.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-266 (Incorrect Privilege Assignment) polega na nieprawidłowym przypisywaniu uprawnień w obrębie pluginu modular-connector. Atakujący zdalny, nieuwierzytelniony użytkownik może wykorzystać tę nieprawidłowość do uzyskania wyższych uprawnień niż te, które powinny mu przysługiwać. Wektor ataku sieciowy bez wymagań co do uwierzytelnienia lub interakcji użytkownika czyni podatność łatwą do wykorzystania.

Skutki

Atakujący może przeprowadzić privilege escalation, potencjalnie uzyskując pełną kontrolę nad zasobami systemu WordPress — w tym danymi, konfiguracją oraz innymi użytkownikami — przy pełnym wpływie na poufność, integralność i dostępność.

Mitygacja

Należy niezwłocznie zaktualizować plugin Modular DS do wersji 2.6.0 lub nowszej. Szczegóły dotyczące patcha dostępne są w bazie Patchstack pod adresem wskazanym w referencjach.

Kogo dotyczy

Plugin WordPress Modular DS (modular-connector) w wersjach od 2.5.2 (włącznie) do 2.6.0 (wyłącznie).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
LPE
CWE
Referencje