O que é a vulnerabilidade no Ghost CMS?

A vulnerabilidade CVE-2026-26980 no Ghost CMS é uma falha crítica de injeção SQL que permite a um invasor não autenticado ler dados arbitrários do banco de dados. Descoberta pela Anthropic usando Claude, essa falha foi corrigida na versão 6.19.1 do Ghost CMS em fevereiro de 2026.

Como funciona o ataque ClickFix?

O ataque ClickFix utiliza a falha para obter a chave da API de administração do site, permitindo a injeção de código JavaScript malicioso. Esse código é inserido no final dos artigos, facilitando ataques de CAPTCHA falso que redirecionam usuários para domínios controlados pelos invasores.

Sinais de alerta

Para identificar se um site foi comprometido:

• Verifique a presença de scripts JavaScript não autorizados no final das páginas.
• Monitorar acessos não autorizados à API de administração.
• Observar mudanças inesperadas em artigos publicados.

Como se proteger

Para se proteger contra essa vulnerabilidade:

• Atualize o Ghost CMS para a versão 6.19.1 ou superior.
• Implemente monitoramento de segurança para detectar atividades suspeitas.
• Revise regularmente as permissões de acesso à API de administração.

Checklist pratico

1. Atualizar o Ghost CMS para a versão mais recente.
2. Configurar alertas de segurança para acessos à API.
3. Revisar e restringir permissões de API.

Perguntas frequentes

O que é o Ghost CMS?

Ghost CMS é uma plataforma de gerenciamento de conteúdo de código aberto usada para criar blogs e sites.

O que é um ataque ClickFix?

É um tipo de ataque que utiliza scripts maliciosos para redirecionar usuários para sites controlados por invasores.

Como posso saber se meu site foi afetado?

Verifique a presença de scripts não autorizados e monitorar atividades suspeitas na API de administração.

Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com

Fontes:
https://thehackernews.com/2026/05/ghost-cms-cve-2026-26980-exploited-to.html