Falha crítica no Ghost CMS
Uma vulnerabilidade de injeção SQL crítica no Ghost CMS está sendo explorada em massa para comprometer mais de 700 sites legítimos e transformá-los em plataformas de distribuição de malware. A falha, identificada como CVE-2026-26980 com pontuação CVSS 9.4, permite que invasores não autenticados leiam dados arbitrários do banco de dados, incluindo a chave de API administrativa.
A vulnerabilidade afeta as versões 3.24.0 a 6.19.0 do Ghost CMS e foi corrigida em fevereiro de 2026 na versão 6.19.1. A falha foi descoberta pela Anthropic usando o modelo Claude, conforme relatado pela QiAnXin XLab.
Como o ataque funciona
Os invasores exploram a vulnerabilidade de injeção SQL na Content API do Ghost para obter a Admin API Key do site sem autenticação. Com essa chave, eles utilizam a Ghost Admin API para modificar artigos em massa, injetando código JavaScript malicioso na parte inferior das páginas.
O JavaScript injetado funciona como um loader de dois estágios. O primeiro estágio busca o payload principal em tempo de execução a partir de um domínio externo (clo4shara[.]xyz). Esse domínio executa um script PHP alimentado pelo Adspect, um serviço comercial de cloaking, que coleta informações de fingerprint do navegador do visitante e decide qual conteúdo exibir.
Os visitantes considerados alvos recebem uma falsa página de verificação CAPTCHA dentro de um iframe, aparentando ser uma verificação de segurança do Cloudflare. A página instrui o usuário a copiar e colar um comando codificado em Base64 na caixa de diálogo “Executar” do Windows.
Cadeia de infecção e payload
O comando copiado pelo usuário funciona como um dropper que baixa um arquivo ZIP, extrai um script batch e o executa. A cadeia de infecção completa segue estas etapas:
- Visitante acessa site legítimo comprometido com script injetado
- Script carrega loader de segundo estágio de
clo4shara[.]xyz - Loader exibe falsa verificação CAPTCHA/Cloudflare no iframe
- Vítima copia comando Base64 e cola no diálogo “Executar” do Windows
- Comando baixa arquivo ZIP com script batch
- Batch executa PowerShell para baixar DLL remota via
rundll32.exe - Payload final instala backdoor Grape modificado com polling a cada 30s
O script PHP do atacante suporta 19 comandos diferentes para executar código JavaScript arbitrário e facilitar o controle remoto do navegador da vítima. Versões posteriores substituíram a DLL por payload JavaScript que entrega um instalador Inno Setup de aplicação Electron modificada.
Escala e setores afetados
A campanha de envenenamento em larga escala foi detectada pela primeira vez em 7 de maio de 2026 pela QiAnXin XLab. Pelo menos dois clusters de ameaças diferentes estão por trás da operação, com alguns sites sendo comprometidos em menos de 24 horas.
| Métrica | Dado |
|---|---|
| Sites comprometidos | 700+ |
| CVE | CVE-2026-26980 |
| CVSS | 9.4 (Crítico) |
| Versões afetadas | 3.24.0 a 6.19.0 |
| Versão corrigida | 6.19.1 |
| Primeira detecção | 7 de maio de 2026 |
| Clusters de ameaças | Pelo menos 2 |
Os setores atingidos incluem universidades, blockchain, inteligência artificial, SaaS, pesquisa em segurança, mídia e tecnologia financeira. O uso de sites legítimos e confiáveis aumenta significativamente a taxa de sucesso dos ataques ClickFix.
Como se proteger
- Atualize o Ghost CMS imediatamente para a versão 6.19.1 ou superior
- Rotacione todas as credenciais de API administrativa após a atualização
- Audite os logs de acesso em busca de chamadas suspeitas à Content API ou Admin API
- Verifique o código-fonte das páginas publicadas procurando por scripts JavaScript desconhecidos no final dos artigos
- Notifique os visitantes que acessaram o site durante o período de contaminação
- Bloqueie os domínios
clo4shara[.]xyzeweb-telegram[.]ugem firewalls e filtros DNS - Eduque os usuários para nunca copiar e colar comandos de páginas web