Uma campanha em larga escala está explorando uma vulnerabilidade crítica de injeção SQL, identificada como
CVE-2026-26980
, no Ghost CMS, para injetar código JavaScript malicioso que dispara fluxos de ataque do tipo ClickFix.
A campanha foi descoberta por pesquisadores de inteligência de ameaças da XLab, empresa chinesa de cibersegurança da Qianxin, que confirmaram impactos em mais de 700 domínios, incluindo portais universitários, empresas de IA e SaaS, veículos de mídia, fintechs, sites de segurança e blogs pessoais.
Segundo os pesquisadores, threat actors implantaram código malicioso nos sites da Universidade Harvard, da Universidade de Oxford, da Universidade Auburn e do DuckDuckGo.
A
CVE-2026-26980
afeta as versões 3.24.0 até 6.19.0 do Ghost e permite que atacantes sem autenticação leiam dados arbitrários do banco de dados do site, incluindo as chaves da API de administração.
Essa chave dá acesso de gerenciamento a usuários, artigos e temas, além de poder ser usada para modificar páginas de artigos.
Embora a correção tenha sido liberada em 19 de fevereiro, na versão 6.19.1 do Ghost CMS, muitos sites não instalaram a atualização de segurança.
Em 27 de fevereiro, a SentinelOne publicou detalhes sobre a exploração da
CVE-2026-26980
em ataques e sobre como os incidentes podem ser detectados.
Os pesquisadores observaram pelo menos dois clusters distintos de atividade mirando sites vulneráveis do Ghost, com casos de reinfecção dos mesmos domínios por scripts diferentes após a limpeza, ou até de um grupo remover o script do outro para inserir o próprio código.
Os ataques observados pela XLab começam com a exploração da
CVE-2026-26980
para roubar as chaves da API de administração e, em seguida, usam os privilégios elevados para injetar JavaScript malicioso em artigos.
O código JavaScript funciona como um loader leve, que busca a segunda etapa na infraestrutura do atacante.
Na prática, trata-se de um script de camuflagem que faz a identificação dos visitantes para decidir se eles se encaixam no perfil de alvo.
Os visitantes que passam pela verificação recebem uma falsa solicitação da Cloudflare, carregada por meio de um iframe sobre a página do artigo, contendo a isca do ClickFix.
A página orienta as vítimas a “confirmar que são humanas” colando um comando fornecido no prompt de comando do Windows, o que faz o download de um payload em seus sistemas.
A XLab observou múltiplos payloads sendo usados nesses ataques, incluindo loaders em DLL, droppers em JavaScript e uma amostra de malware baseada em Electron chamada UtilifySetup.exe.
A medida mais importante para administradores de sites com Ghost CMS é atualizar para a versão 6.19.1 ou posterior e trocar todas as chaves usadas anteriormente, já que elas podem ter sido expostas.
A XLab também divulgou indicadores de comprometimento, incluindo scripts injetados, o que exige uma revisão completa dos sites para localizar e remover esses artefatos.
Os pesquisadores recomendam que os responsáveis pelos sites mantenham um histórico de 30 dias dos logs de chamadas da API de administração, para permitir uma investigação retrospectiva confiável.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...