Los atacantes están explotando una vulnerabilidad crítica, identificada como CVE-2026-26980, en el sistema de gestión de contenido (CMS) Ghost para comprometer más de 700 sitios web legítimos.
¿Cuál es la amenaza?
CVE-2026-26980 es una vulnerabilidad crítica de inyección SQL en la API de contenido de Ghost CMS, con una puntuación CVSS de 9,4. Los atacantes están explotando esta vulnerabilidad para extraer claves de API de administración e inyectar código JavaScript malicioso en el contenido publicado, lo que permite ataques ClickFix a gran escala.
Aunque Ghost solucionó el problema en la versión 6.19.1 en febrero de 2026, los sistemas sin parchear siguen expuestos. El cargador inyectado recupera una carga útil flexible de segunda etapa que identifica a los visitantes y puede redirigirlos, activar descargas o mostrar páginas falsas de CAPTCHA de Cloudflare.
En dominios de confianza, los atacantes engañan a las víctimas para que ejecuten un comando de Windows que instala cargadores de DLL, instaladores de JavaScript y un programa de robo de información basado en Electron (UtilifySetup.exe). Las DLL firmadas digitalmente ayudan aún más al malware a evadir la detección en los dispositivos finales.
¿Por qué es digno de mención?
Este incidente es significativo porque afecta a Ghost, un CMS de código abierto ampliamente utilizado con más de 100.000 implementaciones activas, incluidas organizaciones de alto perfil como DuckDuckGo, Harvard y Oxford.
Una vulnerabilidad crítica de inyección SQL en una plataforma de esta magnitud permite a atacantes no autenticados comprometer un gran número de sitios web de confianza. Al menos dos grupos de ciberdelincuentes están explotando activamente esta vulnerabilidad y compitiendo por implantar sus propias cargas útiles, lo que demuestra tanto la gravedad del fallo como la rapidez con la que los atacantes utilizan como arma las vulnerabilidades recién descubiertas.
¿Cuál es la exposición o el riesgo?
El riesgo principal es doble: la filtración de datos y el secuestro de contenido. Los atacantes pueden explotar la vulnerabilidad de inyección SQL para extraer datos confidenciales de las bases de datos de Ghost, incluidos tokens de autenticación, credenciales de usuario y claves de API de administrador. Con estas claves, pueden modificar programáticamente el contenido del sitio e inyectar cargadores maliciosos, poniendo a los visitantes en riesgo de infección por malware y de sufrir vulneraciones posteriores.
Más de 700 sitios web ya han sido comprometidos, y muchos siguen sin responder a las notificaciones. Esto genera un riesgo constante tanto para los operadores de sitios como para los usuarios, incluyendo daños a la reputación, pérdida de confianza y el uso indebido de dominios legítimos como canales de distribución de malware.
🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)
- Actualiza Ghost CMS a la versión 6.19.1 o posterior en todas las instancias.
- Asegúrese de que todos los plugins, temas y dependencias estén actualizados.
- Regenerar las claves API de administración y las claves API de contenido.
- Restablecer las contraseñas de administrador y de usuario.
- Invalidar y volver a emitir los tokens/sesiones utilizados por Ghost.
- Revisa las publicaciones, páginas y plantillas en busca de código JavaScript o HTML inesperado.
- Inspeccione los registros de administración/API en busca de accesos, direcciones IP o actividades inusuales.
- Busque cargadores JS desconocidos o relacionados con ClickFix incrustados en el contenido.
- Restrinja el acceso a la base de datos y utilice cuentas de base de datos con privilegios mínimos.
- Limite el acceso de administrador mediante VPN, listas de direcciones IP permitidas o autenticación multifactor (MFA) robusta.
- Deshabilita o bloquea las API e integraciones innecesarias
