Investigadores del equipo de inteligencia de amenazas XLab de **Qianxin** han descubierto una campaña generalizada que explota una vulnerabilidad crítica de inyección SQL (**CVE-2026-26980**) que afecta a **Ghost CMS**. Esta vulnerabilidad se está utilizando para inyectar código JavaScript malicioso, desencadenando flujos de ataque ClickFix a gran escala. ### Alcance del Ataque Los investigadores de XLab confirmaron que más de 700 dominios se han visto afectados, incluyendo portales universitarios, empresas de IA/SaaS, medios de comunicación, empresas fintech, sitios de seguridad y blogs personales. Instituciones de alto perfil como la **Universidad de Harvard**, la **Universidad de Oxford**, la **Universidad de Auburn** e incluso **DuckDuckGo** se encuentran entre los sitios comprometidos.  *Fuente: XLab* ### CVE-2026-26980: La Vulnerabilidad **CVE-2026-26980** afecta a las versiones de **Ghost** 3.24.0 a 6.19.0. Permite a atacantes no autenticados leer datos arbitrarios de la base de datos del sitio web, incluidas las importantes claves de API de administrador. Estas claves otorgan un acceso de gestión extenso, lo que permite la modificación de usuarios, artículos y temas. Se lanzó un parche el 19 de febrero en la versión 6.19.1 de **Ghost CMS**; sin embargo, muchos sitios aún no han aplicado la actualización de seguridad necesaria. **SentinelOne** publicó detalles el 27 de febrero sobre la explotación de **CVE-2026-26980**, incluyendo métodos de detección. Su investigación identificó múltiples clústeres de actividad distintos dirigidos a sitios Ghost vulnerables, con algunos dominios siendo infectados repetidamente con diferentes scripts.  *Fuente: XLab* ### Desglose de la Cadena de Ataque Los ataques observados siguen un patrón específico: 1. **Explotación:** Los atacantes explotan **CVE-2026-26980** para robar claves de API de administrador. 2. **Inyección:** Utilizan las claves de API robadas para inyectar JavaScript malicioso en los artículos. 3. **Preparación (Staging):** El JavaScript inyectado actúa como un cargador ligero, obteniendo código de segunda etapa de la infraestructura del atacante. 4. **Identificación (Fingerprinting):** Este código de segunda etapa identifica a los visitantes para detectar posibles objetivos. 5. **Señuelo ClickFix:** A los visitantes objetivo se les presenta una solicitud falsa de **Cloudflare** a través de un iframe, lo que lleva al señuelo ClickFix.  *Fuente: XLab* Luego, se instruye a las víctimas a pegar un comando proporcionado en su símbolo del sistema de Windows, lo que descarga un payload en sus sistemas. Los payloads observados incluyen cargadores de DLL, descargadores de JavaScript y una muestra de malware basada en Electron llamada `UtilifySetup.exe`. .jpg) *Fuente: XLab* ### Estrategias de Mitigación El paso más crítico es actualizar a la versión 6.19.1 o posterior de **Ghost CMS** y rotar todas las claves utilizadas anteriormente, ya que deben considerarse comprometidas. XLab ha proporcionado indicadores de compromiso (IoCs), incluyendo scripts inyectados, que deben utilizarse para revisar a fondo los sitios web y eliminar cualquier código malicioso. También se recomienda a los propietarios de sitios web que mantengan un registro de 30 días de los registros de llamadas de la API de administrador para facilitar investigaciones retrospectivas efectivas.