2026 januárjában kritikus jogosultság-eszkalációs sérülékenységet azonosítottak WordPresshez készült Modular DS bővítményben, amelyet a támadók már a felfedezést követően aktívan ki is használtak. A CVE-2026-23550 azonosító alatt nyilvántartott hiba a lehető legmagasabb, 10.0-es CVSS pontszámot kapta, és minden 2.5.1-es vagy annál korábbi verziót érintett.