Una falla crítica de seguridad en Ghost CMS está siendo explotada activamente por ciberdelincuentes, resultando en el compromiso de más de 700 sitios web legítimos. La vulnerabilidad CVE-2026-26980 permite a los atacantes realizar inyecciones SQL sin necesidad de autenticación, extrayendo información sensible directamente de la base de datos del sistema de gestión de contenidos.
El problema afecta específicamente a la Content API de Ghost CMS y representa un riesgo considerable para las plataformas de publicación. Los atacantes no solo extraen datos, sino que logran apoderarse de la clave de la Admin API, una credencial que les otorga control total sobre el contenido del sitio. Con este acceso privilegiado, pueden editar artículos existentes, modificar páginas completas y convertir sitios confiables en herramientas de distribución de malware.
La campaña detectada a partir del 7 de mayo de 2026 utiliza una técnica sofisticada de dos fases. Los atacantes inyectan código JavaScript malicioso en artículos legítimos que funciona como cargador inicial, descargando posteriormente la carga principal desde servidores externos. Este sistema incluye capacidades avanzadas de análisis del navegador para decidir qué acción ejecutar en cada visita: redirecciones, ventanas emergentes o descargas directas.
El elemento más peligroso de esta campaña es el uso de señuelos ClickFix que imitan verificaciones CAPTCHA o pantallas de seguridad de Cloudflare. Estas páginas fraudulentas engañan a usuarios de Windows para que copien y ejecuten comandos codificados en Base64 a través del cuadro de diálogo Ejecutar. Una vez ejecutado, el comando descarga archivos comprimidos, lanza scripts batch y utiliza PowerShell para instalar archivos DLL maliciosos que se ejecutan con rundll32.exe, todo mientras muestra páginas señuelo para distraer a la víctima.
Aunque Ghost lanzó un parche correctivo en febrero de 2026, el alcance de la campaña indica que numerosas instancias permanecieron vulnerables. Los administradores deben actualizar inmediatamente a Ghost 6.19.1 o versiones superiores, rotar todas las credenciales API, auditar logs en busca de actividad sospechosa y revisar minuciosamente el contenido publicado. Para los usuarios finales, la recomendación es clara: nunca ejecutar comandos que un sitio web solicite, independientemente de su apariencia legítima.
Artículos relacionados de LaRebelión:
- Vulnerabilidad Critica en NGINX Explotada Activamente
- Vulnerabilidad Critica en Ollama Expone Memoria Remota
- CISA Alerta Vulnerabilidad Linux CVE-2026-31431 Explotada Activamente
- Flowise AI Bajo Ataque Vulnerabilidad Critica CVSS 100
- Fortinet Parchea Vulnerabilidad Critica Explotada en FortiClient
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario