https://www.dailysecu.com/news/articleView.html?idxno=204404
워드프레스 플러그인 ‘Modular DS’ 치명적 취약점 악용…관리자 권한 탈취 공격 확산 - 데일리시
워드프레스(WordPress) 플러그인 ‘모듈러 DS(Modular DS, Modular Connector)’에서 최고 심각도에 해당하는 보안 취약점이 확인됐고,
www.dailysecu.com
워드프레스 (WordPress) 플러그인 '모듈러 DS'에서 최고 심각도에 해당하는 보안 취약점이 확인됐고, 실제 공격에 악용되고 있음.
해당 취약점은 CVE-2026-23550으로 원격에서 인증 없이 관리자 권한을 탈취할 수 있음.
모듈러 DS는 여러 워드프레스 사이트를 원격으로 관리하는 커넥터 성격의 플러그인임. 워드프레스 관리자 권한이 파일 변조까지 이어질 수 있어, 권한 탈취 자체가 사이트 장악으로 이어질 수 있음.
플러그인이 외부에 노출한 API 경로의 라우팅 구조와 인증 처리 방식이 결합되면서 인증 장벽이 무력화 될 수 있었음.
플러그인이 특정 경로를 인증 미들웨어 뒤에 두도록 설계되었지만, 직접 요청 (Direct Request)으로 분류되는 모드가 활성화된 상황에서 특정 파라미터를 포함해 요청을 보내면, 정상적인 인증 절차 없이 보호된 경로로 진입 가능
-> 요청이 실제 신뢰할 수 있는 내부 시스템에서 왔는지 확인할 암호학적 증명이 없었고, 사이트가 이미 외부 관리 시스템과 연결돼 토큰이 존재하면 공격자가 인증 절차를 우회할 가능성이 커짐
'보안 > 뉴스 스크랩' 카테고리의 다른 글
| [보안/뉴스] 포티넷 FortiSIEM 보안 취약점 (0) | 2026.01.16 |
|---|---|
| [보안/뉴스] 텔레그램 프록시 사용해도 '실제 IP' 노출 위험 (0) | 2026.01.16 |
| [보안/뉴스] 북한 김수키 'Quishing' 공격 (0) | 2026.01.12 |
| [보안/뉴스] RondoDox 봇넷 공격 확산 (React2Shell 취약점) (0) | 2026.01.08 |
| [보안/뉴스] Kimwolf 안드로이드 봇넷 (1) | 2026.01.08 |