🎧 Turn your podcast on; it is Software Freedom Podcast Friday 📻

Our 44th episode is out and this month @lexelas and @annabonnie are navigating through the relevant EU initiatives.

fsfe.org/news/podcast/2026/epi…

Origin-mo: il trucco pigro che ha aperto 40.000 siti WordPress agli hacker
#CyberSecurity
insicurezzadigitale.com/origin…

(in)sicurezza digitale

2026-01-16 10:07:49

Origin-mo: il trucco pigro che ha aperto 40.000 siti WordPress agli hacker

Si parla di:
Toggle

• La vulnerabilità CVE-2026-23550
• Il trucco con l’header Origin
• Impatto e risposta

I ricercatori hanno scoperto una vulnerabilità critica nel plugin Modular DS per WordPress che ha permesso a hacker di compromettere oltre 40.000 siti con un metodo sorprendentemente semplice.

La vulnerabilità CVE-2026-23550

Il plugin Modular DS, installato su decine di migliaia di siti WordPress, presentava una falla di privilege escalation classificata con un punteggio CVSS di 10.0, il massimo livello di severità. Questa debolezza, identificata come CVE-2026-23550 e catalogata nel database di Positive Technologies, riguardava le versioni 2.5.1 e 2.5.2 e derivava da una mancanza di autenticazione adeguata nell’endpoint API /apimodular-connector/login. Gli attaccanti potevano inviare una richiesta GET a questo endpoint senza credenziali, sfruttando parametri come login, server-information e manager per elevare i privilegi e ottenere accesso amministrativo completo, inclusi moduli per il login, la gestione del server e i backup.

Patchstack ha rilevato le prime exploitation il 13 gennaio 2026 alle 02:00 UTC, con richieste anomale provenienti da IP come 45.11.89.19 e 185.196.0.11, che puntavano proprio a quell’endpoint vulnerabile. La tecnica non richiedeva payload complessi né exploit zero-day elaborati: bastava una semplice chiamata HTTP per bypassare i controlli e iniettare un account amministratore, permettendo l’esecuzione di comandi arbitrari sul server sottostante.

Il trucco con l’header Origin

Gli hacker hanno affinato l’attacco aggiungendo un header HTTP "Origin: mo.", una stringa apparentemente innocua che il plugin Modular DS interpretava come indicatore di una richiesta legittima proveniente dal dominio “originmo”. Questo header, combinato con la mancanza di validazione sull’API apimodular-connector, convinceva il sistema a trattare la chiamata come interna, eludendo ulteriori verifiche di sicurezza. In pratica, l’attaccante simulava una richiesta dal pannello di controllo del plugin stesso, ottenendo accesso istantaneo a funzionalità sensibili come la gestione dei backup e le informazioni sul server.

Tale approccio, definito il “metodo più pigro” dagli analisti, ha colpito siti vulnerabili in modo massivo perché non necessitava di scansioni personalizzate o tool avanzati: una semplice modifica all’header in una richiesta GET standard era sufficiente per compromettere l’intero ambiente WordPress. Positive Technologies ha dettagliato come questo meccanismo permettesse non solo l’elevazione di privilegi ma anche l’inserimento di backdoor persistenti, con potenziali ramificazioni su database e file system.

Impatto e risposta

L’exploit ha interessato circa 40.000 installazioni attive del plugin, esponendo siti a rischi di defacement, furto dati e ulteriore propagazione di malware tramite i manager di backup integrati. Patchstack ha rilasciato una patch urgente nella versione 2.5.2, che introduce validazioni rigorose sugli header Origin e sull’autenticazione API, bloccando richieste non autorizzate attraverso controlli nonce e verifica IP whitelisting.

Gli amministratori di WordPress devono verificare immediatamente la presenza del plugin Modular DS, aggiornarlo alla versione corretta e monitorare i log di accesso per endpoint sospetti come /apimodular-connector/.

Questa discussione è aperta anche su Feddit in @informatica

Origin-mo: il trucco pigro che ha aperto 40.000 siti WordPress agli hacker - (in)sicurezza digitale

^{Dario Fadda (inSicurezzaDigitale.com)}

Diamo il benvenuto nel #fediverso anche al mio blog InsicurezzaDigitale. Ora è un blog federato quindi potete seguirlo anche da qui: @blog

PS: piano piano sto portando tutti i progetti 😂

Vietare cose ad altre persone è facile

L'Australia ha adottato misure per obbligare le aziende di social media a impedire ai minori di 16 anni di avere un account, e si parla sempre di seguire l'esempio del Regno Unito. Oggi voglio spiegare brevemente perché ritengo che sia una cattiva idea.

dogdogfish.com/blog/2026/01/14…

@eticadigitale

We are grateful to be among the 10 beneficiaries of the 2025 @protonprivacy Lifetime Fundraiser together with organisations working to protect digital rights, including EDRi member @digiges and partners @nlnet & Lighthouse Reports

"Support from the global Proton community will significantly strengthen EDRi’s resilience, empowering us to advocate for robust laws and promote a healthy and accountable technology market." Amber Sinha, EDRi Executive Director

👉 proton.me/blog/2025-lifetime-f…

As 2026 begins, we are excited to see the projects from the new edition of #YH4F, kicking off this month, and to start preparing for #FOSDEM and Ada & Zangemann in Dutch!

At the same time, we are looking back at the last month of 2025: from #YH4F in Hamburg to our two latest Software Freedom Podcast episodes, and our updates on the CRA and our work in the Apple v. European Commission litigation.

fsfe.org/news/nl/nl-202601.en.…

Sunday is our Legal & Licensing quiz time 🎲

When does software become copyrighted?

• When you write the software (86%, 380 votes)
• When you register the software with the authoritie (10%, 45 votes)
• When the first user of the software uses it (0%, 4 votes)
• When you make the first sale of the software (2%, 13 votes)

Surveillance Watch – Una mappa che mostra le connessioni tra le aziende di sorveglianza

Le tecnologie di sorveglianza e gli #spyware vengono utilizzati per prendere di mira e sopprimere giornalisti, dissidenti e difensori dei diritti umani in tutto il mondo. Surveillance Watch è un database interattivo che documenta le connessioni nascoste all'interno dell'opaco settore della sorveglianza. Fondata da sostenitori della privacy, la maggior parte dei quali è stata personalmente danneggiata dalle tecnologie di sorveglianza, la nostra missione è quella di far luce sulle aziende che traggono profitto da questo sfruttamento. Mappando l'intricata rete di aziende di sorveglianza, delle loro filiali, partner e finanziatori, speriamo di svelare i facilitatori che alimentano le diffuse violazioni dei diritti in questo settore, garantendo che non possano eludere la responsabilità per la loro complicità in questi abusi. Surveillance Watch è un'iniziativa promossa dalla comunità e ci affidiamo ai contributi di persone appassionate della tutela della #privacy e dei diritti umani.

surveillancewatch.io/

@privacypride

#SurveillanceWatch

All'interno dello strumento dell'ICE per monitorare i telefoni in interi quartieri

404 Media ha ottenuto materiale che spiega il funzionamento di Tangles e Webloc, due sistemi di sorveglianza recentemente acquistati dall'ICE. Webloc può tracciare i telefoni senza mandato e seguire i proprietari fino a casa o al loro datore di lavoro.

404media.co/inside-ices-tool-t…

@privacypride@feddit.it

404 Media

2026-01-08 14:00:08

Inside ICE’s Tool to Monitor Phones in Entire Neighborhoods

A social media and phone surveillance system ICE bought access to is designed to monitor a city neighborhood or block for mobile phones, track the movements of those devices and their owners over time, and follow them from their places of work to home or other locations, according to material that describes how the system works obtained by 404 Media.

Commercial location data, in this case acquired from hundreds of millions of phones via a company called Penlink, can be queried without a warrant, according to an internal ICE legal analysis shared with 404 Media. The purchase comes squarely during ICE’s mass deportation effort and continued crackdown on protected speech, alarming civil liberties experts and raising questions on what exactly ICE will use the surveillance system for.

💡
Do you know anything else about this tool? Do you work for ICE, CBP, or another agency? I would love to hear from you. Using a non-work device, you can message me securely on Signal at joseph.404 or send me an email at joseph@404media.co.

“This is a very dangerous tool in the hands of an out-of-control agency. This granular location information paints a detailed picture of who we are, where we go, and who we spend time with,” Nathan Freed Wessler, deputy project director of the American Civil Liberties Union’s (ACLU) Speech, Privacy, and Technology Project, told 404 Media.

This post is for subscribers only

Become a member to get access to all content
Subscribe now

Inside ICE’s Tool to Monitor Phones in Entire Neighborhoods

404 Media has obtained material that explains how Tangles and Webloc, two surveillance systems ICE recently purchased, work. Webloc can track phones without a warrant and follow their owners home or to their employer.

^{Joseph Cox (404 Media)}

Our Youth Hacking 4 Freedom opening event has just ended. As with every year the opening of our #programming #competition is always really special as it is so inspiring to meet so many creative teenagers from all over #Europe.

If you are between 14 to 18 years old you can still join our programming competition work on your own #FreeSoftware project and win up to 4096 Euro.

yh4f.org/register

#softwareFreedom #diday

Perché la maggior parte dei siti web non ha effettivamente bisogno dei banner di consenso ai #cookie

La maggior parte dei siti web delle piccole imprese non ha effettivamente bisogno di quei fastidiosi banner di consenso ai cookie che interrompono l'esperienza dell'utente. Il vero colpevole non sono le leggi sulla privacy, ma gli strumenti di tracciamento pesantemente sorvegliati che la maggior parte dei siti ha adottato inutilmente.

block81.com/blog/why-most-webs…

@privacypride

🚨 Ada pre-order alarm!

Wil je het inzichtgevende verhaal van ‘Ada & Zangemann” in het Nederlands lezen? Dankzij het geweldige werk van onze vrijwilliger @nicorikken kan je het boek nu bestellen!

Lees het verhaal hier: fsfe.org/news/2026/news-202601…

Vergeet het niet te bestellen of koop het op #FOSDEM

#SoftwareFreedom #AdaZangemann

🚨 Ada pre-order alert!

Want to read the insightful story of "Ada & Zangemann" in Dutch? Thanks to the awesome work of our volunteer @nicorikken you can pre-order the book now!

Read the story here: fsfe.org/news/2026/news-202601…

Do not forget to pre-order it ! You can pick it up at #fosdem

#SoftwareFreedom #AdaZangemann

"A rousing tale of self-reliance, community and standing up to bullies, no matter how powerful they may be."

- @pluralistic - Sci-fi author

#Softwarefreedom #AdaZangemann

💻 ada.fsfe.org

New Year, still with the #39c3 handover, but already thinking about #fosdem

The #39c3 creatures were able to get our new sticker, but we still have more surprises for #fosdem: new t-shits and socks!

We cannot wait to see all of you there!

#softwarefreedom #Freesoftware

📢Have you heard about the "Digital independence day"?

At the #39c3 @marcuwekling, @linuzifer and #CCC started the #DIday, a day to come one step closer to #digitalIndependence and away from Big Tech.

📺 Check it out here: media.ccc.de/v/39c3-die-kangur…
di.day

Can #FreeSoftware be used for commercial purposes?

#LegalEducation

• No, it must be free of charge (5%, 39 votes)
• No, it can only be used for charitable purposes (1%, 11 votes)
• Yes, but you must pay before you can use it (9%, 71 votes)
• Yes, you can choose how you wish to use it (83%, 625 votes)