La vulnerabilidad crítica CVE-2026-26980 (CVSS 9.4) en la plataforma Ghost CMS está siendo explotada activamente por atacantes para la inserción masiva de código JavaScript malicioso en las publicaciones de sitios comprometidos. Según los investigadores de QiAnXin XLab, la campaña, descubierta el 7 de mayo de 2026, ha afectado a más de 700 sitios web en los sectores de educación, blockchain, inteligencia artificial, SaaS, medios y tecnologías financieras. El objetivo final es la entrega de programas maliciosos mediante ataques de tipo ClickFix con páginas CAPTCHA falsas. La vulnerabilidad se corrigió en la versión 6.19.1 ya en febrero de 2026: los administradores de Ghost CMS deben actualizarse de inmediato y auditar sus instalaciones.
Detalles técnicos de la vulnerabilidad
CVE-2026-26980 es una vulnerabilidad de SQL injection en el Content API de la plataforma Ghost. Según el boletín de seguridad oficial, la vulnerabilidad permite a un atacante no autenticado leer datos arbitrarios de la base de datos. La puntuación CVSS 9.4 refleja un nivel de peligrosidad crítico.
La gravedad particular de la vulnerabilidad radica en que a través de ella un atacante puede extraer la clave Admin API del sitio sin ningún tipo de autorización. Esta clave proporciona acceso completo al Admin API administrativo de Ghost, incluida la posibilidad de modificar de forma programática los artículos publicados. Este es precisamente el vector que se emplea en la campaña actual: los atacantes modifican masivamente el contenido, inyectando cargadores JavaScript maliciosos al final de las páginas.
Es destacable que la vulnerabilidad fue descubierta por la empresa Anthropic utilizando el modelo de IA Claude. La corrección se publicó en la versión Ghost 6.19.1 en febrero de 2026.
Mecánica del ataque: de la inyección al control total
Según el informe de QiAnXin XLab, el ataque se lleva a cabo mediante una cadena de entrega de varios pasos:
Fase 1 — Compromiso del CMS. El atacante explota CVE-2026-26980 para extraer la clave Admin API de la base de datos. A continuación, mediante el Admin API modifica masivamente los artículos, añadiendo al final de cada página un cargador JavaScript malicioso.
Fase 2 — Cargador de dos etapas. El JavaScript inyectado actúa como un cargador de primer nivel que se comunica con un servidor externo para obtener la carga útil principal en tiempo de ejecución. Esta arquitectura permite a los atacantes cambiar con flexibilidad el contenido entregado, manteniendo inalterado el cargador en cientos de sitios comprometidos.
Fase 3 — Ocultación mediante Adspect. Según se informa, el script PHP del lado del servidor utiliza el servicio comercial de cloaking Adspect. El script recopila las huellas digitales del navegador del visitante, las envía al servidor de control y ejecuta acciones basadas en las instrucciones recibidas — redirecciones, ventanas emergentes, descargas. Se presume que el script admite 19 comandos diferentes para ejecutar JavaScript arbitrario y para el control remoto del navegador de la víctima. Mientras tanto, los escáneres de seguridad y los robots de búsqueda solo ven una página inocua.
Fase 4 — Ataque ClickFix. A los visitantes objetivo se les muestra una página CAPTCHA falsa dentro de un elemento iframe. A la víctima se le propone «confirmar que es humana» copiando y pegando un comando codificado en Base64 en el cuadro de diálogo Windows Run. Este comando inicia la cadena de entrega: descarga de un archivo ZIP, extracción y ejecución de un script por lotes de Windows, que a través de PowerShell descarga un archivo DLL desde un servidor remoto y lo ejecuta mediante rundll32.exe. Paralelamente, se abre una página web de distracción.
Evolución de la carga útil
Los investigadores observaron que en iteraciones posteriores de la campaña el archivo DLL fue sustituido por una carga útil en JavaScript. Independientemente del tipo de entrega, el objetivo final es la instalación de un ejecutable de Windows:
- En la variante con DLL, se entrega un cliente PuTTY con un certificado de firma de código válido
- En la variante con JavaScript, se instala un instalador Inno Setup de una aplicación Electron
Según se indica, la aplicación Electron es una versión modificada del cliente de escritorio Grape de código abierto. La modificación garantiza la persistencia en el sistema y la consulta al servidor de mando cada 30 segundos para obtener instrucciones, incluidas la ejecución de código JavaScript o de archivos ejecutables.
Indicadores de compromiso
Sobre la base de los datos de la investigación, se han identificado los siguientes indicadores:
- Dominios:
clo4shara[.]xyz,web-telegram[.]ug
Alcance y evaluación del impacto
Según la estimación de QiAnXin XLab, la campaña ha afectado a más de 700 sitios web. Entre los recursos comprometidos se encuentran sitios de universidades y de empresas en las áreas de blockchain, IA, SaaS, seguridad de la información, medios y tecnologías financieras. El uso de sitios legítimos y de confianza como plataforma de ataque aumenta significativamente la probabilidad de éxito de las campañas ClickFix: los visitantes de estos recursos no esperan encontrarse con contenido malicioso.
Cabe señalar que la evaluación del alcance de la campaña se basa en datos de una única fuente de investigación y aún no ha sido confirmada de forma independiente por el proveedor Ghost ni por organismos estatales de ciberseguridad. No obstante, la criticidad de la propia vulnerabilidad (CVSS 9.4) y la facilidad de explotación — sin autenticación, a través del Content API público — hacen que la explotación masiva sea un escenario totalmente realista.
En algunos casos, según los investigadores, el código malicioso se inyectó en los sitios en el transcurso de un solo día, lo que indica un alto grado de automatización del ataque.
Recomendaciones de respuesta
Los administradores de Ghost CMS deben llevar a cabo de inmediato las siguientes acciones:
- Actualizar Ghost a la versión 6.19.1 o superior — la vulnerabilidad se corrigió específicamente en este lanzamiento
- Rotar todas las credenciales, incluidas las claves Admin API y Content API, las contraseñas de la base de datos y las cuentas de administradores
- Realizar una auditoría de contenido — comprobar todos los artículos publicados en busca de inserciones de JavaScript ajenas, especialmente al final de las páginas
- Revisar los registros de acceso para detectar solicitudes sospechosas al Content API y al Admin API, especialmente operaciones de edición masiva
- Bloquear los indicadores de compromiso identificados a nivel de equipamiento de red y WAF
- Notificar a los usuarios que pudieran haber visitado el sitio durante el periodo de compromiso sobre el riesgo potencial
Dado que la explotación no requiere autenticación y permite controlar por completo el contenido publicado a través del Admin API, la prioridad de actualización es máxima. Cada instancia de Ghost CMS sin actualizar con un Content API accesible desde internet constituye un objetivo potencial. Si la actualización no es posible de forma inmediata, al menos se debe restringir el acceso externo al API mediante reglas de red y comprobar el contenido actual del sitio en busca de cambios no autorizados.
