WordPress xavfsizligiga jiddiy zarba: "Modular DS" plagini orqali admin huquqlari egallanishi mumkin

2026-yil yanvar oyida WordPress xavfsizligi tarixidagi eng xavfli hodisalardan biri qayd etildi. Keng tarqalgan Modular DS nomli WordPress plagini tarkibida aniqlangan o‘ta xavfli zaiflik kiberjinoyatchilarga hech qanday autentifikatsiyasiz saytga to‘liq administrator (admin) huquqlari bilan kirish imkonini bergani ma’lum bo‘ldi. Eng tashvishli jihati shundaki, ushbu zaiflik real hujumlarda faol ekspluatatsiya qilingan.

Zaiflik mohiyati va ko‘lami

Mazkur zaiflik CVE-2026-23550 identifikatori bilan ro‘yxatga olingan bo‘lib, CVSS v3.1 shkalasi bo‘yicha 10.0 ball — ya’ni maksimal xavf darajasiga ega. U Modular DS plagining 2.5.1 va undan past versiyalariga ta’sir ko‘rsatgan va 40 mingdan ortiq WordPress saytlarini xavf ostida qoldirgan.

Modular DS plagini modulards.com tomonidan ishlab chiqilgan bo‘lib, u administratorlarga bir nechta WordPress saytlarini masofadan turib boshqarish — yangilash, monitoring qilish, zaxira nusxa (backup) olish kabi imkoniyatlarni taqdim etadi. Aynan ushbu keng funksionallik noto‘g‘ri himoyalangan holda jiddiy xavf manbaiga aylangan.

Texnik sabab: ichki marshrutlashdagi (routing) jiddiy xato

Patchstack mutaxassislarining tahliliga ko‘ra, muammo plaginning /api/modular-connector/ yo‘lagida joylashgan, Laravel uslubida ishlab chiqilgan marshrutlash mexanizmida yuzaga kelgan. Hujumchilar origin=mo va istalgan type parametri yordamida so‘rov yuborish orqali himoya qatlamlarini chetlab o‘ta olgan.

Agar sayt Modular DS xizmatiga ulangan bo‘lsa, ushbu so‘rovlar autentifikatsiya tekshiruvlarisiz qabul qilingan. Natijada hujumchilar /login/{modular_request} kabi himoyalangan yo‘llarga kira olgan.

Eng xavfli jihat shundaki, AuthController modulida foydalanuvchi identifikatori ko‘rsatilmagan taqdirda, tizim avtomatik ravishda eng yuqori huquqqa ega administrator foydalanuvchini aniqlab, hujumchini aynan shu foydalanuvchi sifatida tizimga kiritgan. Bu jarayonda raqamli imzo, maxfiy kalit yoki IP manzil tekshiruvi umuman mavjud bo‘lmagan.

To‘liq tizim egallanishi: hujum oqibatlari

Administrator huquqiga ega bo‘lgan hujumchi quyidagi harakatlarni bemalol amalga oshira olgan:

yashirin backdoor admin akkauntlar yaratish;
zararli plagin va mavzularni (theme) o‘rnatish;
sayt fayllarini o‘zgartirish yoki o‘chirish;
zaxira nusxalar orqali maxfiy ma’lumotlarni qo‘lga kiritish;
saytni botnet yoki fishing platformasiga aylantirish.

Aniqlangan hujumlarda ko‘pincha “PoC Admin” kabi nomdagi soxta administratorlar yaratilgani va ularning elektron pochta manzillari soxta bo‘lgani qayd etilgan.

Faol hujumlar va aniqlangan indikatorlar (IOC)

Patchstack ma’lumotlariga ko‘ra, hujumlar 2026-yil 13-yanvar kuni soat 02:00 (UTC) atrofida boshlangan. Asosiy nishon — /api/modular-connector/login/ manzili bo‘lgan.

Quyidagi IP manzillar shubhali faoliyat bilan bog‘langan:

45.11.89[.]19 — dastlabki skanerlashlar
162.158.123[.]41 — login so‘rovlari
172.70.176[.]95 — administrator yaratish
172.70.176[.]52 — tizimda mustahkamlanish (persistence)

Yechim va tavsiyalar

Mazkur zaiflik Modular DS 2.5.2 versiyasida bartaraf etildi. Yangi versiyada:

URL asosidagi marshrutlash olib tashlandi;
noma’lum so‘rovlar uchun standart 404 javobi joriy etildi;
faqat ruxsat etilgan type (request, oauth, lb) qiymatlarigina qabul qilinadigan bo‘ldi.

Patchstack tomonidan ishlab chiqilgan maxsus himoya qoidalari hujumlarni avtomatik tarzda bloklaydi.

Barcha Modular DS foydalanuvchilari uchun muhim tavsiyalar:

plaginni zudlik bilan 2.5.2 yoki undan yuqori versiyaga yangilash;
avtomatik yangilanishlarni yoqish;
server va WordPress loglarini tekshirish;
noma’lum administrator akkauntlarini o‘chirish va parollarni yangilash.

Mazkur hodisa yana bir bor shuni ko‘rsatdiki, ichki API va marshrutlash mexanizmlarida haddan tashqari ishonch va kriptografik tekshiruvlarning yo‘qligi butun tizim xavfsizligini izdan chiqarishi mumkin. Zamonaviy veb-ilovalarda har bir so‘rov qat’iy autentifikatsiya va verifikatsiyadan o‘tishi shart.

Kiberxavfsizlik — bu faqat tashqi hujumlardan himoyalanish emas, balki ichki mexanizmlarni ham to‘g‘ri va xavfsiz loyihalash san’atidir.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

WordPress xavfsizligiga jiddiy zarba: «Modular DS» plagini orqali admin huquqlari egallanishi mumkin

Zaiflik mohiyati va ko‘lami

Texnik sabab: ichki marshrutlashdagi (routing) jiddiy xato

To‘liq tizim egallanishi: hujum oqibatlari

Faol hujumlar va aniqlangan indikatorlar (IOC)

Yechim va tavsiyalar

Zaiflik mohiyati va ko‘lami

Texnik sabab: ichki marshrutlashdagi (routing) jiddiy xato

To‘liq tizim egallanishi: hujum oqibatlari

Faol hujumlar va aniqlangan indikatorlar (IOC)

Yechim va tavsiyalar

Microsoft SQL Server xavf ostida: tarmoq orqali imtiyozlarni oshirishga yo‘l ochilgan

Firefox 147 yangilandi: brauzer xavfsizligiga jiddiy tahdid soluvchi 16 ta zaiflik bartaraf etildi

HTB Certified Web Exploitation Specialist (CWES): veb-ilovalar xavfsizligi bo‘yicha chuqurlashtirilgan sertifikat