Er is een kritieke kwetsbaarheid ontdekt in de plug-in Modular DS die wordt gebruikt om WordPress-sites aan te vallen en over te nemen. Hoewel er inmiddels een beveiligingsupdate beschikbaar is, werd het lek al misbruikt voordat de patch uitkwam, aldus beveiligingsbedrijf Patchstack. Beheerders en gebruikers van de plug-in worden geadviseerd om te controleren of hun site al is gehackt.

Modular DS is een plug-in voor het beheren en monitoren van WordPress-sites, waarmee updates, monitoring en back-ups kunnen worden uitgevoerd. Meer dan dertigduizend websites hebben deze plug-in geïnstalleerd. Het beveiligingslek, bekend als CVE-2026-23550, stelt een ongeauthenticeerde aanvaller in staat om in te loggen als admin en volledige controle over de site te krijgen. De kwetsbaarheid heeft een impactscore van 10.0 op een schaal van 1 tot 10. Patchstack ontdekte op 14 januari aanvallen die het lek misbruikten en rapporteerde dit aan de ontwikkelaar, die snel een update uitbracht. Sindsdien hebben 35.000 websites de patch geïnstalleerd. Gebruikers wordt aangeraden om na de update logbestanden te controleren op verdachte activiteiten, admin-gebruikers te controleren, WordPress-salts en OAuth-gegevens opnieuw te genereren en te zoeken naar malafide plug-ins.