Modular DS schließt kritische Privilege-Escalation-Lücke im Modular Connector

Modular DS hat Sicherheitsupdates für den Modular Connector veröffentlicht. Die Versionen 2.5.2 (14. Januar 2026) und 2.6.0 (16. Januar 2026) beheben eine kritische Schwachstelle, die im Rahmen der Untersuchung eines Sicherheitsvorfalls vom 14. Januar identifiziert wurde. Die Lücke ist als CVE-2026-23550 registriert und wird mit dem maximalen CVSS-Score von 10.0 bewertet.

Die Ursache liegt in einer zu permissiven Routenprüfung innerhalb einer benutzerdefinierten Routing-Schicht auf Basis von Laravel. Unter bestimmten Bedingungen konnten nicht authentifizierte Angreifer durch speziell präparierte HTTP-Anfragen geschützte Endpunkte erreichen, Authentifizierungsmechanismen umgehen und erhöhte Berechtigungen bis hin zu administrativem Zugriff erlangen.

Betroffen sind alle Versionen des Modular Connector bis einschließlich 2.5.1. Die Schwachstelle wurde vollständig in den Versionen 2.5.2 und 2.6.0 behoben. Version 2.6.0 adressiert darüber hinaus einen zusätzlichen Exploit-Pfad, der während der laufenden Analyse entdeckt wurde.

Modular DS empfiehlt dringend, alle Installationen umgehend auf Version 2.6.0 zu aktualisieren. Zusätzlich wird geraten, Server-Logs auf verdächtige Zugriffe zu prüfen, WordPress-Administratorkonten auf unautorisierte Neuanlagen zu kontrollieren und bei Auffälligkeiten weitere Härtungsmaßnahmen wie das Erneuern von WordPress-Salts, OAuth-Zugangsdaten sowie einen Malware-Scan durchzuführen.

Related Posts

MOVEit WAF: Zwei kritische Command-Injection-Schwachstellen geschlossen

Progress hat zwei schwerwiegende Sicherheitslücken in MOVEit WAF veröffentlicht, die als CVE-2025-13444 und CVE-2025-13447 geführt werden. Beide Schwachstellen ermöglichen über die Weboberfläche oder API eine Command Injection und können in der Folge zu Remote Code Execution führen.

Read More

Kritische Schwachstelle in React Router und Remix ermöglicht unautorisierten Dateizugriff

In den Paketen @react-router/node sowie @remix-run/node und @remix-run/deno wurde eine kritische Sicherheitslücke (CVE-2025-61686) entdeckt, die beim Einsatz von createFileSessionStorage() mit unsignierten Cookies auftritt. Betroffen sind React Router Versionen von 7.0.0 bis einschließlich 7.9.3 sowie Remix v2 bis Version 2.17.1.

Read More

Kritische Schwachstelle im WordPress-Plugin „Restrict Content“ legt Stripe-Geheimnisse offen

Im WordPress-Plugin Membership Plugin – Restrict Content wurde eine schwerwiegende Sicherheitslücke entdeckt, die alle Versionen bis einschließlich 3.2.16 betrifft. Die unter CVE-2025-14844 geführte Schwachstelle erlaubt aufgrund fehlender Authentifizierungs- und Berechtigungsprüfungen einen unautorisierten Zugriff auf sensible Daten.

Read More