本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
Modular DS WordPress プラグインの脆弱性(CVE-2026-23550)を狙った攻撃
今月は、WordPressの管理プラグイン「Modular DS」の脆弱性(CVE-2026-23550)を狙った攻撃が増加しました。本脆弱性は、1/14(水)に公開されたもので、攻撃者に悪用された場合、認証なしで管理者権限を取得されてしまう恐れがあります。
下図は、2月からの本脆弱性を狙った攻撃の検知数推移です。本脆弱性のCVSS値(脆弱性の深刻度)は、10.0(Critical)と評価されているため、該当製品を使用されている場合は、早急に最新のバージョンにアップデートすることをお勧めします。
 |
以下は、弊社SOCで検知した攻撃例です。リクエストにorigin=moとtypeパラメータを指定することで認証の回避を試みた通信となっています。
|
GET /index.php/api/modular-connector/login/bpnmy?origin=mo&type=foo HTTP/1.1 |
下表は、本脆弱性を狙った攻撃元国です。3月はアメリカ、イギリスからの攻撃を多数観測しています。
| # | 2026年2月 | 2026年3月 | ||
| 1 | ドイツ | 40.0% | アメリカ | 39.5% |
| 2 | 日本 | 20.0% | イギリス | 38.3% |
| 3 | アメリカ | 20.0% | モロッコ | 8.6% |
| 4 | オーストラリア | 6.7% | シンガポール | 7.4% |
| 5 | エジプト | 6.7% | ドイツ | 2.5% |
影響対象
- Modular DS WordPress 2.5.1 以下
対策方法
修正済みのバージョンにアップデートしてください。
参考情報
- Modular DS < 2.5.2 - Unauthenticated Privilege Escalation
https://wpscan.com/vulnerability/3ccaa0fd-b11c-4f9f-bab5-644a53b11035/ - CVE: CVE-2026-23550
https://www.cve.org/CVERecord?id=CVE-2026-23550
マネージドサービス事業部
MBSD-SOC
MBSD-SOC
おすすめ記事
