Vulnerabilidade no Ghost CMS Leva a Ataques em 700 Sites e Propaga ClickFix
Uma vulnerabilidade crítica no Ghost CMS, identificada como CVE-2026-26980, está sendo explorada para infectar sites com código malicioso. Mais de 700 sites, incluindo instituições de ensino e empresas de tecnologia, foram comprometidos em ataques que utilizam scripts JavaScript maliciosos e táticas ClickFix.
MundiX News·28 de maio de 2026·3 min de leitura·👁 10 views
Pesquisadores da QiAnXin XLab alertam sobre a exploração de uma vulnerabilidade crítica no Ghost CMS, que está sendo utilizada para infectar sites com carregadores JavaScript maliciosos e conduzir ataques ClickFix. A exploração da falha, identificada como CVE-2026-26980, já afetou mais de 700 sites, incluindo portais de universidades renomadas, veículos de mídia, empresas SaaS, serviços fintech e recursos de segurança cibernética. Entre os sites comprometidos estão os da Universidade de Harvard, Universidade de Oxford, Universidade de Auburn e o mecanismo de busca DuckDuckGo.
A vulnerabilidade, uma injeção SQL, recebeu uma pontuação de 9,4 na escala CVSS e afeta as versões do Ghost CMS de 3.24.0 a 6.19.0. Ela permite que um invasor não autenticado leia dados do banco de dados, incluindo a chave API do administrador. Com essa chave, os hackers podem obter acesso total à API administrativa do CMS e modificar em massa o conteúdo publicado, injetando código malicioso. A correção para a CVE-2026-26980 foi lançada em 19 de fevereiro de 2026, com o lançamento do Ghost 6.19.1. A SentinelOne já havia alertado sobre a exploração da falha em ataques reais em 27 de fevereiro, mas muitos proprietários de sites não instalaram as atualizações.
De acordo com especialistas da XLab, a atividade maliciosa começou pelo menos em 7 de maio de 2026, e pelo menos dois grupos de hackers diferentes estão por trás dessa campanha. Os ataques funcionam da seguinte forma: os invasores exploram a CVE-2026-26980 e obtêm a chave API do administrador. Em seguida, eles injetam um carregador JavaScript em artigos por meio da API administrativa. Esse script carrega o malware da segunda fase do ataque a partir do domínio clo4shara[.]xyz. A tática de cloaking é então empregada. O script coleta dados sobre o navegador, verifica os visitantes e decide se deve mostrar a carga maliciosa. O serviço comercial Adspect é usado para filtrar o tráfego, garantindo que os robôs de pesquisa e os scanners de segurança vejam uma página inofensiva, enquanto as vítimas reais são apresentadas a um CAPTCHA falso. Uma janela Cloudflare falsa é exibida sobre o artigo infectado por meio de um iframe, com um cenário ClickFix clássico. O usuário é solicitado a "verificar que é humano" copiando e executando um comando no Windows Run ou cmd.exe. Esse comando baixa um arquivo ZIP contendo um script em lote e uma carga útil adicional. Em seguida, um comando PowerShell é executado, que baixa um arquivo DLL e o executa por meio do rundll32.exe. Em algumas variantes do ataque, uma carga útil JavaScript é usada em vez de uma DLL. Os pesquisadores também relatam que, em alguns casos, o malware Electron UtilifySetup.exe foi usado - uma versão modificada do cliente Grape de código aberto. O malware se estabeleceu no sistema e se conectou ao servidor de comando web-telegram[.]ug a cada 30 segundos para receber novos comandos.
Administradores do Ghost CMS são aconselhados a atualizar para a versão 6.19.1 ou posterior o mais rápido possível, reemitir todas as chaves API e verificar seus sites em busca de scripts injetados. Além disso, especialistas recomendam armazenar logs de chamadas de API administrativas por pelo menos 30 dias, pois isso pode ajudar na investigação de incidentes.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores da QiAnXin XLab alertam sobre a exploração de uma vulnerabilidade crítica no Ghost CMS, que está sendo utilizada para infectar sites com carregadores JavaScript maliciosos e conduzir ataques ClickFix. A exploração da falha, identificada como CVE-2026-26980, já afetou mais de 700 sites, incluindo portais de universidades renomadas, veículos de mídia, empresas SaaS, serviços fintech e recursos de segurança cibernética. Entre os sites comprometidos estão os da Universidade de Harvard, Universidade de Oxford, Universidade de Auburn e o mecanismo de busca DuckDuckGo.
A vulnerabilidade, uma injeção SQL, recebeu uma pontuação de 9,4 na escala CVSS e afeta as versões do Ghost CMS de 3.24.0 a 6.19.0. Ela permite que um invasor não autenticado leia dados do banco de dados, incluindo a chave API do administrador. Com essa chave, os hackers podem obter acesso total à API administrativa do CMS e modificar em massa o conteúdo publicado, injetando código malicioso. A correção para a CVE-2026-26980 foi lançada em 19 de fevereiro de 2026, com o lançamento do Ghost 6.19.1. A SentinelOne já havia alertado sobre a exploração da falha em ataques reais em 27 de fevereiro, mas muitos proprietários de sites não instalaram as atualizações.
De acordo com especialistas da XLab, a atividade maliciosa começou pelo menos em 7 de maio de 2026, e pelo menos dois grupos de hackers diferentes estão por trás dessa campanha. Os ataques funcionam da seguinte forma: os invasores exploram a CVE-2026-26980 e obtêm a chave API do administrador. Em seguida, eles injetam um carregador JavaScript em artigos por meio da API administrativa. Esse script carrega o malware da segunda fase do ataque a partir do domínio clo4shara[.]xyz. A tática de cloaking é então empregada. O script coleta dados sobre o navegador, verifica os visitantes e decide se deve mostrar a carga maliciosa. O serviço comercial Adspect é usado para filtrar o tráfego, garantindo que os robôs de pesquisa e os scanners de segurança vejam uma página inofensiva, enquanto as vítimas reais são apresentadas a um CAPTCHA falso. Uma janela Cloudflare falsa é exibida sobre o artigo infectado por meio de um iframe, com um cenário ClickFix clássico. O usuário é solicitado a "verificar que é humano" copiando e executando um comando no Windows Run ou cmd.exe. Esse comando baixa um arquivo ZIP contendo um script em lote e uma carga útil adicional. Em seguida, um comando PowerShell é executado, que baixa um arquivo DLL e o executa por meio do rundll32.exe. Em algumas variantes do ataque, uma carga útil JavaScript é usada em vez de uma DLL. Os pesquisadores também relatam que, em alguns casos, o malware Electron UtilifySetup.exe foi usado - uma versão modificada do cliente Grape de código aberto. O malware se estabeleceu no sistema e se conectou ao servidor de comando web-telegram[.]ug a cada 30 segundos para receber novos comandos.
Administradores do Ghost CMS são aconselhados a atualizar para a versão 6.19.1 ou posterior o mais rápido possível, reemitir todas as chaves API e verificar seus sites em busca de scripts injetados. Além disso, especialistas recomendam armazenar logs de chamadas de API administrativas por pelo menos 30 dias, pois isso pode ajudar na investigação de incidentes.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
