Una vulnerabilidad crítica en Ghost CMS permite extraer sin autenticación datos de la base de datos y robar la clave de la Admin API. Con ese acceso, atacantes han contaminado más de 700 sitios con JavaScript malicioso para lanzar señuelos ClickFix que empujan a usuarios de Windows a ejecutar comandos y terminar instalando malware.
La explotación activa de CVE-2026-26980, un fallo crítico de SQL injection en Ghost CMS, ya ha derivado en el secuestro de más de 700 sitios web. El problema afecta a la Content API y permite leer información de la base de datos sin autenticación, un escenario especialmente delicado en plataformas de publicación porque abre la puerta a cambios de contenido a gran escala en páginas legítimas, con el efecto dominó que eso implica para los visitantes.
El ataque no se queda en la simple extracción de datos. La lectura arbitraria facilita hacerse con la clave de la Admin API, una credencial con la que un intruso puede editar entradas, modificar páginas y, en la práctica, convertir el CMS en un canal de distribución de código malicioso. En esta campaña, los atacantes han optado por una técnica directa: inyectar JavaScript en artículos ya publicados para ‘envenenar’ la web y usar su reputación como gancho.
La actividad se detectó a partir del 7 de mayo de 2026 y en algunos casos la contaminación llegó en menos de un día desde los primeros indicios. El script insertado actúa como un cargador en dos fases: primero despliega un componente ligero y después trae la carga principal en tiempo de ejecución desde un dominio externo. Además, la infraestructura incorpora un sistema de distribución de tráfico que toma huellas del navegador y decide qué hacer en cada visita, desde redirecciones hasta popups o descargas, según órdenes que recibe del servidor.
El tramo más peligroso llega con el señuelo ClickFix. A ciertas víctimas les aparece una falsa verificación tipo CAPTCHA o una supuesta pantalla de Cloudflare dentro de un iframe. El objetivo es que el usuario copie y pegue un comando codificado en Base64 en el cuadro Ejecutar de Windows. A partir de ahí, la cadena descarga un archivo comprimido, lanza un batch y usa PowerShell para bajar una DLL que se ejecuta con rundll32.exe, mientras abre una página señuelo para distraer.
Se han visto variantes que sustituyen la DLL por una carga JavaScript y que acaban soltando un ejecutable en Windows. Entre los artefactos identificados aparecen un cliente PuTTY firmado y un instalador Inno Setup de una app Electron modificada basada en el cliente de escritorio Grape. El patrón encaja con campañas que buscan persistencia y control del equipo, pero también con un objetivo más simple y rentable: convertir una visita casual en una instalación de malware.
La corrección de Ghost llegó en febrero de 2026, pero el alcance de la campaña sugiere que muchas instancias siguieron expuestas. La mitigación pasa por actualizar a una versión corregida, como mínimo Ghost 6.19.1, y asumir que cualquier despliegue vulnerable puede haber perdido el control de sus secretos.
Para administradores, la prioridad es rotar la Admin API key y el resto de credenciales, auditar logs de la API y buscar señales de lecturas anómalas o ediciones masivas. Conviene revisar artículos y páginas en busca de JavaScript añadido, a menudo colocado al final del HTML, y comprobar la integridad de temas, plantillas y activos estáticos, restaurando desde copias de seguridad fiables si hace falta. También ayuda bloquear dominios sospechosos a nivel de DNS, proxy o firewall, y activar alertas ante uso inusual de la Admin API.
El riesgo para el público es menos técnico y más humano. El engaño se apoya en la confianza: si una web conocida muestra una ‘verificación’ y pide ejecutar comandos, muchos usuarios obedecen. En equipos Windows, las organizaciones pueden endurecer políticas para limitar ejecuciones no autorizadas desde el diálogo de ejecución, PowerShell o scripts descargados, además de mantener la protección antimalware al día. Y, para cualquiera, la norma sigue siendo la misma: nunca pegar comandos que una página web te dicte, por muy legítima que parezca.
Más información
- The Hacker News – Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks : https://thehackernews.com/2026/05/ghost-cms-cve-2026-26980-exploited-to.html
- Malwarebytes – 700+ education and tech websites hijacked in huge ClickFix malware campaign : https://www.malwarebytes.com/blog/bugs/2026/05/700-education-and-tech-websites-hijacked-in-huge-clickfix-malware-campaign
Deja una respuesta