Uma vulnerabilidade crítica no Ghost CMS vem sendo explorada para comprometer sites e abusar da confiança de páginas legítimas na distribuição de conteúdo malicioso. A falha, catalogada como CVE-2026-26980, afeta instalações do Ghost CMS, uma plataforma open-source voltada para publicações e blogs, e permite que atacantes não autenticados realizem SQL Injection na Content API. Embora a correção já estivesse disponível desde fevereiro [1], a exploração em massa só foi observada em maio, quando a XLab [6] identificou campanhas ativas contra centenas de sites.

O que é essa vulnerabilidade

Segundo o aviso oficial do projeto [4], o problema ocorre porque partes da URL controladas pelo usuário eram inseridos diretamente em consultas SQL sem o devido tratamento, permitindo leitura arbitrária de dados do banco em versões vulneráveis.

No trecho corrigido, a lógica responsável por ordenar slugs, geralmente descrito como a parte final de um URL utilizado para encontrar um artigo, foi ajustada para usar parâmetros vinculados. Nas versões afetadas, o valor de slug era interpolado diretamente na query [3] . Na correção, os valores passaram a ser tratados como dados separados da estrutura da consulta.
O comportamento vulnerável acontece na seguinte linha:

order += `WHEN \`${table}\`.\`slug\` = '${slug}' THEN ${index} `;

Já a versão corrigida usa placeholders e bindings, ou seja, os campos reservados na consulta e os valores passados de forma segura, separando a query dos valores fornecidos pelo usuário.

Como a falha funciona

Na prática, o atacante consegue manipular parâmetros da Content API, a API responsável pelo conteúdo do Ghost, especialmente filtros associados ao campo slug, para interferir na consulta SQL executada pelo sistema. O aviso oficial do projeto [4] aponta que padrões como slug%3A%5B e slug:[ podem aparecer em tentativas de exploração e devem ser tratados como sinais relevantes para investigação. O impacto técnico é que essa falha permite leitura arbitrária do banco de dados.

Com esse acesso, o atacante pode acessar informações sensíveis armazenadas pela aplicação, incluindo a Admin API key, que depois pode ser usada para executar chamadas administrativas legítimas contra a API do Ghost. Uma vez em posse da chave administrativa, o invasor pode modificar artigos já publicados, inserir JavaScript malicioso no conteúdo e transformar o próprio site comprometido em um ponto de distribuição para campanhas maliciosas.

Impacto

Com severidade 9.4 (CRITICAL) no CVSS, a vulnerabilidade é especialmente grave porque não exige autenticação e pode levar à exposição de dados sensíveis da aplicação. Observada inicialmente no dia 7 de maio pela XLab, a falha foi usada para comprometer mais de 700 sites [6] , incluindo páginas ligadas a universidades, mídia, fintechs e outras organizações.

Após obter a chave administrativa, os operadores adulteravam o conteúdo dos sites para exibir scripts e redirecionamentos ligados a campanhas de ClickFix, uma técnica de engenharia social em que a vítima é induzida a executar o próprio malware.

Versões afetadas e corrigidas

O commit com a correção da CVE-2026-26980 foi lançado dia 16 de fevereiro, protegendo as seguintes versões.

Recomendações

A principal medida de mitigação é atualizar imediatamente o Ghost CMS para a versão 6.19.1 ou superior. Além disso, administradores devem revisar logs da aplicação em busca de requisições suspeitas à Content API, especialmente padrões relacionados a slug%3A%5B e slug:[ [4].

Caso exista qualquer evidência de exploração, o ideal é assumir comprometimento da instância. Nesse cenário, recomenda-se rotacionar credenciais e chaves de API, revisar alterações inesperadas em artigos e verificar se houve inserção de JavaScript não autorizado no conteúdo publicado.

Referências

[1] Github: Release v6.19.1
[2] Github: Commit com patch da vulnerabilidade
[3] Sonic Wall: Ghost CMS Content API Blind SQL Injection
[4] Github: Aviso oficial do projeto
[5] The Hacker News: Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks
[6] XLab: Ghost CMS Mass Compromised via CVE-2026-26980, Now Fueling ClickFix Attacks