Uma falha de segurança classificada como crítica foi descoberta no plugin Modular DS, amplamente utilizado por administradores de sites WordPress para monitoramento, atualizações e backups centralizados. A vulnerabilidade, identificada como CVE‑2026‑23550, recebeu pontuação CVSS 10.0, o nível máximo de severidade, e já está sendo explorada ativamente por cibercriminosos.
O problema afeta versões até a 2.5.1 do plugin e permite que um invasor não autenticado obtenha acesso administrativo total ao site. A falha permite burlar os mecanismos de autenticação por meio de requisições maliciosas, resultando em controle completo sobre a instalação WordPress afetada. Com acesso privilegiado, atacantes podem executar qualquer ação no site comprometido, incluindo modificação de conteúdos, criação de contas maliciosas, instalação de backdoors ou distribuição de malware.
O plugin possui mais de 40 mil instalações ativas, o que amplia significativamente o impacto potencial da falha. A desenvolvedora do plugin lançou uma atualização emergencial na versão 2.5.2, que corrige o problema. Especialistas em segurança alertam para a importância de atualizar imediatamente o plugin em todos os sites afetados e revisar atividades administrativas recentes, já que a exploração já está em curso.
Além disso, é recomendada a ativação de medidas adicionais de proteção, como firewalls de aplicações web (WAF), autenticação em dois fatores e auditoria de acessos, para prevenir danos futuros.
