O que aconteceu

Pesquisadores da XLab, unidade de inteligência da empresa chinesa Qianxin, identificaram uma campanha explorando a vulnerabilidade CVE-2026-26980 no Ghost CMS. Segundo o relato, mais de 700 domínios foram impactados, incluindo portais universitários, empresas de IA e SaaS, veículos de mídia, fintechs, sites de segurança e blogs pessoais.

Entre os exemplos citados estão páginas associadas a Harvard University, Oxford University, Auburn University e DuckDuckGo. A correção foi publicada em 19 de fevereiro na versão Ghost CMS 6.19.1, mas muitos sites continuaram sem aplicar a atualização.

Como o ataque funciona

A falha afeta o Ghost CMS das versões 3.24.0 até 6.19.0. Ela permite que um invasor sem login leia dados do banco do site. O ponto mais sensível é o acesso às chaves da API administrativa, que podem permitir gerenciamento de usuários, artigos e temas.

Com esse acesso, os criminosos conseguem alterar páginas e inserir JavaScript malicioso. Esse código passa a ser carregado quando alguém visita o site comprometido e pode iniciar fluxos de ataque chamados ClickFix, feitos para induzir a vítima a seguir instruções maliciosas.

Sinais de alerta

Quem administra um site em Ghost CMS deve procurar mudanças que não foram feitas pela equipe. Os principais sinais são:

• Uso de versão entre 3.24.0 e 6.19.0, sem atualização para 6.19.1.
• Scripts JavaScript desconhecidos em artigos, páginas ou temas.
• Alterações recentes em conteúdo publicado sem autorização.
• Usuários, artigos ou temas modificados sem registro interno.
• Reinfecção após limpeza, já que os pesquisadores observaram mais de um grupo atuando sobre os mesmos domínios.

O que fazer agora

A prioridade é atualizar o Ghost CMS para a versão corrigida, 6.19.1 ou superior. Depois disso, revise conteúdos, temas e permissões administrativas. Se houver suspeita de comprometimento, trate as chaves da API administrativa como expostas e substitua-as.

• Faça backup antes de qualquer limpeza.
• Compare artigos e temas atuais com versões conhecidas e confiáveis.
• Remova JavaScript que não tenha origem validada.
• Revise usuários administrativos e remova acessos desnecessários.
• Monitore se o código malicioso volta a aparecer.

Checklist pratico

1. Verifique a versão do Ghost CMS e atualize imediatamente para 6.19.1 ou superior.
2. Inspecione artigos, páginas e temas em busca de JavaScript desconhecido ou recém-inserido.
3. Troque chaves administrativas, revise usuários e monitore alterações após a correção.

Perguntas frequentes

Todo site em Ghost CMS está vulnerável?

Não. O risco descrito afeta instalações entre as versões 3.24.0 e 6.19.0. A correção foi disponibilizada na versão 6.19.1.

O que torna essa falha crítica?

Ela pode permitir leitura de dados do banco sem autenticação, incluindo chaves administrativas. Com essas chaves, invasores podem alterar artigos, usuários e temas.

O visitante do site também corre risco?

Sim. O JavaScript malicioso inserido nas páginas pode acionar fluxos ClickFix quando alguém acessa um site comprometido.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://www.bleepingcomputer.com/news/security/ghost-cms-sql-injection-flaw-exploited-in-large-scale-clickfix-campaign/