THE-CSIRT

Modular DS (WordPress Plugin): ช่องโหว่วิกฤต CVE-2026-23550 ยอมให้ผู้ร้ายเพิ่มสิทธิ์ เข้ายึดบัญชี admin ได้

January 16, 2026

นิตยสารออนไลน์ eSecurity Planet รายงานข่าวว่า

นักวิจัย Teemu Saarentaus ของบริษัท group.one ค้นพบช่องโหว่ CVE-2026-23550 ในผลิตภัณฑ์

Modular DS (WordPress Plugin)

มีระดับความรุนแรง “วิกฤต” คะแนนความรุนแรง 10.0 เต็ม

ผู้ร้ายสามารถอาศัยช่องโหว่เพิ่มสิทธิ์ให้ตัวเอง อาจถึงขั้นยึดบัญชีผู้ใช้ของ admin ไปได้

Plugin ดังกล่าว ใช้เพื่อให้ admin บริหารเว็บไซต์ทางไกลได้

มีผู้นิยมใช้แพร่หลาย มีการติดตั้งมากถึง 40,000+ ไซต์

ผู้พัฒนาได้ออก patch แก้ไขช่องโหว่นี้แล้วตั้งแต่ Modular DS 2.5.2

จึงแจ้งมาเพื่อทราบ,

ภาคผนวก:

อ่านข่าวฉบับเต็มจาก eSecurity Planet ได้ที่:

https://www.esecurityplanet.com/threats/40k-wordpress-installs-at-risk-from-modular-ds-admin-bypass

อ่านวิเคราะห์ช่องโหว่ของ ข่าวฉบับเต็มจาก patchstack ได้ที่:

https://patchstack.com/articles/critical-privilege-escalation-vulnerability-in-modular-ds-plugin-affecting-40k-sites-exploited-in-the-wild

อ่านข้อมูล CVE ได้ที่:

https://www.cve.org/CVERecord?id=CVE-2026-23550

และ

https://nvd.nist.gov/vuln/detail/CVE-2026-23550

← Back to Home