O Diário do Analista
Vol. 2 (abr. 2026)  |  Pp. 210–212  |  ISSN 3086-6103

Campanha em larga escala explora CMS expostos e transforma sites legítimos em vetores de ataque

Uma campanha global de exploração em larga escala está atingindo plataformas de gerenciamento de conteúdo, os CMS, expostas na internet. O alerta crítico do Australian Signals Directorate’s Australian Cyber Security Centre (ASD/ACSC), informa que agentes maliciosos estão escaneando ativamente sites para explorar vulnerabilidades conhecidas em CMS e plugins, especialmente falhas que permitem upload não autenticado de arquivos, execução remota de código, SSRF e deserialização insegura. Uma vez comprometido, o servidor pode receber webshells, sofrer defacement, capturar credenciais de usuários, distribuir malware contra visitantes ou servir como ponto de apoio para comprometimento mais amplo da rede.

Entre os principais CMS, plugins e componentes citados no alerta estão WordPress, por meio de plugins como Simple File List, WavePlayer, BerqWP, WPBookit, Ninja Forms, ThemeREX Addons, Breeze Cache, WPvivid Backup, Gravity Forms e outros; além de Craft CMS, MaxSite CMS, MetInfo CMS e Joomla, especificamente por meio do componente JCE.

Um caso representativo é a CVE-2026-26980, vulnerabilidade de SQL Injection no Ghost CMS. A falha afeta as versões 3.24.0 até 6.19.0 e foi corrigida na versão 6.19.1. Segundo o advisory oficial do GitHub/Ghost, a vulnerabilidade está na Content API e permite que atacantes não autenticados leiam dados arbitrários do banco de dados, incluindo informações sensíveis que podem expor chaves administrativas. O fornecedor recomenda revisar usuários staff e rotacionar chaves.

Em campanhas observadas publicamente, atacantes exploraram essa falha no Ghost CMS para obter chaves administrativas, alterar conteúdo publicado e injetar JavaScript malicioso em páginas legítimas. Esses sites foram então usados em ataques do tipo ClickFix, nos quais visitantes recebem falsas verificações Cloudflare ou CAPTCHA e são induzidos a executar comandos no Windows, resultando na instalação de malware. A Malwarebytes reportou mais de 700 sites Ghost comprometidos nessa campanha.


Riscos

  • Para o administrador: perda de integridade do CMS, exposição de dados internos, abuso de credenciais e possível persistência por webshells ou mecanismos equivalentes.
  • Para o visitante: o site legítimo passa a operar como infraestrutura de entrega de golpe, malware e roubo de credenciais.

Ações imediatas

As ações imediatas devem incluir:

  • Inventário de CMS e plugins expostos;
  • Atualização urgente para versões corrigidas;
  • Inspeção de arquivos recém-criados ou modificados em diretórios web;
  • Busca por webshells, revisão de logs HTTP GET/POST suspeitos;
  • Verificação de alterações em páginas, posts e templates; e
  • Rotação de senhas, tokens e chaves de API.

No caso do Ghost CMS, a atualização para a versão 6.19.1 ou superior deve ser tratada como prioridade, acompanhada da revisão de usuários administrativos e da rotação de chaves.

Também é recomendável tratar servidores com webshells identificados como comprometidos, isolá-los, auditar autenticações e conexões de rede, remover mecanismos de persistência e restaurar o site a partir de backup íntegro quando necessário.

É recomendável ainda restringir criação de arquivos em diretórios web, monitorar processos filhos inesperados gerados pelo servidor web, limitar comunicação lateral e manter CMS e plugins continuamente atualizados.

Indicadores de possível comprometimento incluem scripts ou redirecionamentos não autorizados, falsas páginas de verificação Cloudflare/CAPTCHA, criação de contas administrativas desconhecidas, arquivos recentes em diretórios de upload, picos anormais de requisições HTTP POST, alterações inesperadas em conteúdo publicado e chamadas incomuns a APIs administrativas.

O CMS exposto e desatualizado não representa apenas risco para o proprietário do site. Em campanhas atuais, ele pode ser rapidamente convertido em uma plataforma de ataque contra terceiros, usando a reputação do domínio legítimo como parte da própria cadeia de exploração.


Referências

Fonte da Tabela: Australian Signals Directorate’s Australian Cyber Security Centre (ASD/ACSC) – Enriquecida pelo autor

Software/Plugin Plataforma CVE ID(s) Tipo de Risco Link
Simple File List WordPress Plugin CVE-2025-34085 /
CVE-2020-36847
RFI/LFI NVD
WavePlayer WordPress Plugin CVE-2025-12057 XSS/Injeção NVD
BerqWP WordPress Plugin CVE-2025-7443 Injeção SQL NVD
WPBookit WordPress Plugin CVE-2025-7852 SQL Injection NVD
Ninja Forms WordPress Plugin CVE-2026-0740 CSRF/Auth Bypass NVD
ThemeREX Addons WordPress Plugin CVE-2026-1969 RCE NVD
Breeze Cache WordPress Plugin CVE-2026-3844 Path Traversal NVD
pay-uz WordPress Plugin CVE-2026-31843 Payment Bypass NVD
ACF Extended WordPress Plugin CVE-2025-13486 Privilege Escalation NVD
Sneeit Framework Framework Web CVE-2025-6389 RCE NVD
WPvivid Backup WordPress Plugin CVE-2026-1357 Data Exposure NVD
Gravity Forms WordPress Plugin CVE-2025-12352 CSRF/RCE NVD
GutenKit/Hunk Companion WordPress Plugin CVE-2024-9234 Injeção NVD
Craft CMS CMS CVE-2025-32432 RCE NVD
MaxSite CMS CMS CVE-2026-3395 SQL Injection NVD
MetInfo CMS CMS CVE-2026-29014 File Upload RCE NVD
Joomla JCE Joomla Plugin CVE-2026-48907 File Upload RCE NVD

⚠️ LEGENDA DE RISCO:
CRÍTICA (Vermelho) = Execução Remota de Código (RCE), Auth Bypass, Payment Bypass
ALTA (Laranja) = SQL Injection, XSS, Path Traversal, Privilege Escalation
Ação recomendada: Atualizar plugins/software imediatamente, especialmente os marcados em vermelho.

 

Tags: , , , , , , .

Categorias: CMS, Ghost, Joomla, Remote Attack, Wordpress.