Vol. 2 (abr. 2026) | Pp. 210–212 | ISSN 3086-6103
Campanha em larga escala explora CMS expostos e transforma sites legítimos em vetores de ataque
Uma campanha global de exploração em larga escala está atingindo plataformas de gerenciamento de conteúdo, os CMS, expostas na internet. O alerta crítico do Australian Signals Directorate’s Australian Cyber Security Centre (ASD/ACSC), informa que agentes maliciosos estão escaneando ativamente sites para explorar vulnerabilidades conhecidas em CMS e plugins, especialmente falhas que permitem upload não autenticado de arquivos, execução remota de código, SSRF e deserialização insegura. Uma vez comprometido, o servidor pode receber webshells, sofrer defacement, capturar credenciais de usuários, distribuir malware contra visitantes ou servir como ponto de apoio para comprometimento mais amplo da rede.
Entre os principais CMS, plugins e componentes citados no alerta estão WordPress, por meio de plugins como Simple File List, WavePlayer, BerqWP, WPBookit, Ninja Forms, ThemeREX Addons, Breeze Cache, WPvivid Backup, Gravity Forms e outros; além de Craft CMS, MaxSite CMS, MetInfo CMS e Joomla, especificamente por meio do componente JCE.
Um caso representativo é a CVE-2026-26980, vulnerabilidade de SQL Injection no Ghost CMS. A falha afeta as versões 3.24.0 até 6.19.0 e foi corrigida na versão 6.19.1. Segundo o advisory oficial do GitHub/Ghost, a vulnerabilidade está na Content API e permite que atacantes não autenticados leiam dados arbitrários do banco de dados, incluindo informações sensíveis que podem expor chaves administrativas. O fornecedor recomenda revisar usuários staff e rotacionar chaves.
Em campanhas observadas publicamente, atacantes exploraram essa falha no Ghost CMS para obter chaves administrativas, alterar conteúdo publicado e injetar JavaScript malicioso em páginas legítimas. Esses sites foram então usados em ataques do tipo ClickFix, nos quais visitantes recebem falsas verificações Cloudflare ou CAPTCHA e são induzidos a executar comandos no Windows, resultando na instalação de malware. A Malwarebytes reportou mais de 700 sites Ghost comprometidos nessa campanha.
Riscos
- Para o administrador: perda de integridade do CMS, exposição de dados internos, abuso de credenciais e possível persistência por webshells ou mecanismos equivalentes.
- Para o visitante: o site legítimo passa a operar como infraestrutura de entrega de golpe, malware e roubo de credenciais.
Ações imediatas
As ações imediatas devem incluir:
- Inventário de CMS e plugins expostos;
- Atualização urgente para versões corrigidas;
- Inspeção de arquivos recém-criados ou modificados em diretórios web;
- Busca por webshells, revisão de logs HTTP GET/POST suspeitos;
- Verificação de alterações em páginas, posts e templates; e
- Rotação de senhas, tokens e chaves de API.
No caso do Ghost CMS, a atualização para a versão 6.19.1 ou superior deve ser tratada como prioridade, acompanhada da revisão de usuários administrativos e da rotação de chaves.
Também é recomendável tratar servidores com webshells identificados como comprometidos, isolá-los, auditar autenticações e conexões de rede, remover mecanismos de persistência e restaurar o site a partir de backup íntegro quando necessário.
É recomendável ainda restringir criação de arquivos em diretórios web, monitorar processos filhos inesperados gerados pelo servidor web, limitar comunicação lateral e manter CMS e plugins continuamente atualizados.
Indicadores de possível comprometimento incluem scripts ou redirecionamentos não autorizados, falsas páginas de verificação Cloudflare/CAPTCHA, criação de contas administrativas desconhecidas, arquivos recentes em diretórios de upload, picos anormais de requisições HTTP POST, alterações inesperadas em conteúdo publicado e chamadas incomuns a APIs administrativas.
O CMS exposto e desatualizado não representa apenas risco para o proprietário do site. Em campanhas atuais, ele pode ser rapidamente convertido em uma plataforma de ataque contra terceiros, usando a reputação do domínio legítimo como parte da própria cadeia de exploração.
Referências
- GitHub Advisory Database / TryGhost. “Ghost has a SQL injection in Content API (CVE-2026-26980)
- ASD/ACSC, “Large-scale exploitation campaign targeting website content management systems (CMS)” publicado em 09/07/2026.
- GitHub Advisory Database / Ghost, “Ghost has a SQL injection in Content API”, CVE-2026-26980.
Fonte da Tabela: Australian Signals Directorate’s Australian Cyber Security Centre (ASD/ACSC) – Enriquecida pelo autor
| Software/Plugin | Plataforma | CVE ID(s) | Tipo de Risco | Link |
|---|---|---|---|---|
| Simple File List | WordPress Plugin | CVE-2025-34085 / CVE-2020-36847 |
RFI/LFI | NVD |
| WavePlayer | WordPress Plugin | CVE-2025-12057 | XSS/Injeção | NVD |
| BerqWP | WordPress Plugin | CVE-2025-7443 | Injeção SQL | NVD |
| WPBookit | WordPress Plugin | CVE-2025-7852 | SQL Injection | NVD |
| Ninja Forms | WordPress Plugin | CVE-2026-0740 | CSRF/Auth Bypass | NVD |
| ThemeREX Addons | WordPress Plugin | CVE-2026-1969 | RCE | NVD |
| Breeze Cache | WordPress Plugin | CVE-2026-3844 | Path Traversal | NVD |
| pay-uz | WordPress Plugin | CVE-2026-31843 | Payment Bypass | NVD |
| ACF Extended | WordPress Plugin | CVE-2025-13486 | Privilege Escalation | NVD |
| Sneeit Framework | Framework Web | CVE-2025-6389 | RCE | NVD |
| WPvivid Backup | WordPress Plugin | CVE-2026-1357 | Data Exposure | NVD |
| Gravity Forms | WordPress Plugin | CVE-2025-12352 | CSRF/RCE | NVD |
| GutenKit/Hunk Companion | WordPress Plugin | CVE-2024-9234 | Injeção | NVD |
| Craft CMS | CMS | CVE-2025-32432 | RCE | NVD |
| MaxSite CMS | CMS | CVE-2026-3395 | SQL Injection | NVD |
| MetInfo CMS | CMS | CVE-2026-29014 | File Upload RCE | NVD |
| Joomla JCE | Joomla Plugin | CVE-2026-48907 | File Upload RCE | NVD |
⚠️ LEGENDA DE RISCO:
CRÍTICA (Vermelho) = Execução Remota de Código (RCE), Auth Bypass, Payment Bypass
ALTA (Laranja) = SQL Injection, XSS, Path Traversal, Privilege Escalation
Ação recomendada: Atualizar plugins/software imediatamente, especialmente os marcados em vermelho.