El contingut del teu blog corporatiu pot haver-se convertit en una arma contra els teus propis lectors sense que ho sàpigues. Investigadors de QiAnXin XLab han confirmat una campanya d’explotació massiva activa de CVE-2026-26980, una injecció SQL crítica (CVSS 9.4) a la Content API de Ghost CMS que permet a un atacant no autenticat llegir dades arbitàries de la base de dades del lloc. El JavaScript maliciós injectat desencadena un atac ClickFix contra els visitants del blog: mostra un missatge d’error fals que instrueix el lector a executar una ordre al seu terminal, infectant el seu equip amb malware. The Hacker News ho amplifica avui. Entre els llocs compromesos en la campanya hi ha propietats de Harvard, Oxford i DuckDuckGo. El pedàç està disponible a Ghost 5.120.1.

Què se sap de CVE-2026-26980 i la campanya activa a Ghost CMS?

  • Vulnerabilitat: injecció SQL (CVE-2026-26980) a la Content API de Ghost CMS. Permet a un atacant no autenticat enviar consultes SQL manipulades a l’API pública del blog i llegir dades arbitàries de la base de dades.
  • CVSS 9.4 — Crític: sense autenticació requerida, explotable de forma remota, impacte alt en confidencialitat.
  • Versió de Ghost afectada: versions anteriors a Ghost 5.120.1. La Content API de Ghost és pública per disseny, la qual cosa la converteix en una superfície d’atac directament exposada a internet.
  • Campanya massiva activa: QiAnXin XLab documenta una campanya en curs que explota CVE-2026-26980 a gran escala per injectar JavaScript maliciós al frontend de llocs Ghost CMS compromesos.
  • Llocs compromesos d’alt perfil: entre els llocs afectats hi ha propietats de Harvard University, Oxford University i DuckDuckGo.
  • El payload desencadena ClickFix: el JavaScript injectat mostra als visitants un missatge d’error fals que en realitat els demana copiar i executar una ordre al terminal. Si la víctima segueix les instruccions, el seu equip queda comprometès amb malware.
  • Pedàç disponible: Ghost Foundation va publicar la correcció a Ghost 5.120.1.

Per què Ghost CMS és un objectiu d’alt valor per als atacants

  1. L’audiència d’un blog corporatiu és l’audiència de negoci de l’empresa. Qui llegeix el blog d’una empresa de ciberseguretat, una consultora o una plataforma SaaS sol ser un directiu o responsable IT. Infectar aquests lectors via ClickFix té un multiplicador d’impacte molt superior.
  2. La Content API de Ghost és pública per disseny. CVE-2026-26980 abusa d’aquesta exposició legítima.
  3. Ghost(Pro) vs self-hosted: urgència diferent. Els usuaris de Ghost(Pro) reben actualitzacions automàtiques. Els usuaris de Ghost self-hosted està exposats fins que apliquin manualment el pedàç.
  4. El vector ClickFix converteix els lectors en víctimes sense comproms complet del servidor. El servidor del blog no necessita estar completament comprometès perquè milers de lectors siguin atacats.

Com funciona l’atac: de la injecció SQL al ClickFix contra els lectors

Vector 1 — Exfiltració de dades via injecció SQL:

  1. L’atacant identifica llocs Ghost CMS exposats i envia consultes manipulades a la Content API.
  2. Llegeix dades arbitàries: esbossos no publicats, dades de subscriptors, tokens d’integració i configuracions internes.

Vector 2 — Injecció de JavaScript maliciós i atac ClickFix als lectors:

  1. Amb accés a la base de dades, l’atacant modifica el contingut de posts o les plantilles del tema per incloure un script JavaScript maliciós.
  2. El JavaScript mostra als visitants una pantalla d’error falsa que simula un avís legítim del sistema operatiu o del navegador.
  3. El missatge fals inclou instruccions per “solucionarl’error”: copiar una ordre al porta-retalls i enganxar-la al terminal. L’ordre descarrega i executa malware a l’equip del lector.

Lliçons clau i checklist de mitigació per a administradors de Ghost CMS

Acció immediata — Actualitzar Ghost:

  • Ghost self-hosted: actualitzar a Ghost 5.120.1 o superior amb Ghost CLI: ghost update. Verificar la versió instal·lada amb ghost ls.
  • Ghost(Pro): les actualitzacions s’apliquen automàticament. Verificar la versió activa al panell de Ghost(Pro).

Verificar si el lloc ha estat comprometès:

  • Revisar el codi font de les pàgines públiques del blog per cercar scripts JavaScript no autoritzats.
  • Auditar l’historial de canvis a la base de dades: comprovar si hi ha posts o plantilles modificats sense autorització.
  • Revisar els registres del servidor web per cercar peticions inusuals a /ghost/api/content/.
  • Comprovar si hi ha subscriptors afegits massivament de manera recent.

Si el lloc ha estat comprometès:

  • Retirar temporalment el lloc de producció fins a netejar el contingut maliciós.
  • Eliminar tot JavaScript no autoritzat del contingut de posts i plantilles.
  • Rotar tots els tokens d’integració de Ghost i les API keys dels serveis connectats.
  • Canviar la contrasenya de l’administrador i tots els usuaris amb accés al panell.
  • Notificar els subscriptors i visitants recents sobre la possibilitat d’haber estat exposats.

La ciberseguretat com a prioritat estratègica

CVE-2026-26980 a Ghost CMS il·lustra una dinàmica que es repeteix al panorama d’amenaces de 2026 i que el DBIR de Verizon va confirmar ahir mateix: les vulnerabilitats sense pedaçar s’exploten en hores, no en dies, i el vector no és sempre el sistema crític més vigilat — de vegades és el blog corporatiu que ningú considera una superfície d’atac de primer ordre.

Apolo Cybersecurity: protecció de plataformes de contingut i detecció d’injeccions en CMS corporatius

A Apolo Cybersecurity ajudem empreses a protegir les seves plataformes de contingut corporatiu davant vulnerabilitats com CVE-2026-26980: auditoria i verificació de l’estat de pedàçament d’instàncies Ghost CMS, detecció d’injeccions JavaScript malicioses en contingut publicat, revisió de logs de la Content API, neteja forense de llocs compromesos i comunicació d’incidents a audiències afectades.

Si la teva empresa fa servir Ghost CMS self-hosted i no has aplicat l’actualització a 5.120.1, aquest dimecres al matí és el moment de fer-ho.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity