CVE-2026-26980

Nome do Software Vulnerável e Versões Afetadas Ghost versões 3.24.0 até 6.19.0

Description O Ghost, um sistema de gerenciamento de conteúdo Node.js, contém uma falha de blind SQL injection em sua Content API. Este problema ocorre porque o software utiliza concatenação de strings em vez de consultas parametrizadas, permitindo que atacantes não autenticados realizem leituras arbitrárias no banco de dados. Especificamente, atacantes podem enviar comandos SQL disfarçados através da variável slug para recuperar informações sensíveis, como a chave mestre Admin API.

Em incidentes reais, essa falha foi utilizada em uma campanha automatizada de larga escala que afetou mais de 700 domínios, incluindo instituições de alto perfil como Harvard, Oxford e DuckDuckGo. Atacantes exploraram o endpoint '/ghost/api/content/tags/' para roubar chaves Admin API, que foram então usadas para injetar JavaScript malicioso em artigos. Esse JavaScript facilitou ataques de ClickFix, nos quais os visitantes eram enganados por falsos avisos de verificação do Cloudflare para executar comandos prejudiciais em seus sistemas Windows locais, levando à instalação de malwares, como DLLs baseadas em Rust e aplicativos Electron maliciosos.

Recommendations Atualize o Ghost para a versão 6.19.1 ou posterior. Rotacione todas as chaves Admin API. Inspecione manualmente o conteúdo dos artigos no nível do banco de dados para identificar e remover scripts injetados. Revise os logs de chamadas da Admin API em busca de modificações em massa de artigos não autorizadas. Como mitigação temporária, utilize um proxy reverso ou regra de WAF para bloquear solicitações da Content API que contenham slug%3A%5B ou slug:[ no parâmetro de filtro da string de consulta.