Modular DS hat Sicherheitsupdates für den Modular Connector veröffentlicht. Die Versionen 2.5.2 (14. Januar 2026) und 2.6.0 (16. Januar 2026) beheben eine kritische Schwachstelle, die im Rahmen der Untersuchung eines Sicherheitsvorfalls vom 14. Januar identifiziert wurde. Die Lücke ist als CVE-2026-23550 registriert und wird mit dem maximalen CVSS-Score von 10.0 bewertet.
Die Ursache liegt in einer zu permissiven Routenprüfung innerhalb einer benutzerdefinierten Routing-Schicht auf Basis von Laravel. Unter bestimmten Bedingungen konnten nicht authentifizierte Angreifer durch speziell präparierte HTTP-Anfragen geschützte Endpunkte erreichen, Authentifizierungsmechanismen umgehen und erhöhte Berechtigungen bis hin zu administrativem Zugriff erlangen.
Betroffen sind alle Versionen des Modular Connector bis einschließlich 2.5.1. Die Schwachstelle wurde vollständig in den Versionen 2.5.2 und 2.6.0 behoben. Version 2.6.0 adressiert darüber hinaus einen zusätzlichen Exploit-Pfad, der während der laufenden Analyse entdeckt wurde.
Modular DS empfiehlt dringend, alle Installationen umgehend auf Version 2.6.0 zu aktualisieren. Zusätzlich wird geraten, Server-Logs auf verdächtige Zugriffe zu prüfen, WordPress-Administratorkonten auf unautorisierte Neuanlagen zu kontrollieren und bei Auffälligkeiten weitere Härtungsmaßnahmen wie das Erneuern von WordPress-Salts, OAuth-Zugangsdaten sowie einen Malware-Scan durchzuführen.
