Investigadores comprobaron que ena vulnerabilidad crítica de inyección SQL en la plataforma de gestión de contenidos Ghost CMS está siendo explotada activamente para comprometer cientos de sitios web y distribuir ataques de ClickFix.
Una vulnerabilidad crítica identificada como CVE-2026-26980 en el gestor de contenidos Ghost CMS está siendo explotada activamente en campañas masivas. Hasta ahora se cuentan más de 700 sitios web comprometidos y que fueron utilizados para distribuir ataques ClickFix, según reportes de investigadores y medios especializados en ciberseguridad.
La vulnerabilidad afecta a versiones específicas de Ghost CMS y corresponde a una falla de inyección SQL. El aviso de seguridad publicado por el proyecto en GitHub Security Advisories indicó que el problema permite a atacantes ejecutar consultas SQL arbitrarias. La vulnerabilidad recibió una puntuación crítica en la base de datos NVD del NIST.
De acuerdo con el aviso oficial del proyecto, el problema afecta instalaciones auto hospedadas de Ghost CMS y fue corregido en versiones actualizadas del software. El advisory indica que “esta vulnerabilidad permite a un atacante acceder a las claves API de un sitio, recomendamos revisar los usuarios del personal y rotar las claves. En general, recomendamos actualizar siempre Ghost a su versión más reciente”, lo anterior con el propósito de reducir el riesgo de explotación activa.
Investigadores de Qianxin XLab indicaron que “tras una investigación y un análisis exhaustivos, determinamos que no se trataba de una intrusión dirigida contra el cliente, sino de una campaña de envenenamiento a gran escala llevada a cabo por un grupo de atacantes que tenía como objetivo Ghost CMS”.
Los especialistas sostienen que los actores maliciosos comenzaron a explotar la vulnerabilidad a gran escala para modificar sitios comprometidos y desplegar contenido malicioso asociado a campañas ClickFix. Según el reporte técnico, los atacantes insertaron código diseñado para mostrar falsas alertas de seguridad y engañar a usuarios para ejecutar comandos maliciosos en sus dispositivos.
Los ataques ClickFix corresponden a una técnica de ingeniería social en la que los atacantes muestran falsas alertas de seguridad, verificaciones técnicas o mensajes de error para convencer a las víctimas de ejecutar comandos maliciosos en sus propios dispositivos. En muchos casos, las páginas comprometidas simulan procesos legítimos de validación o reparación del sistema con el objetivo de instalar malware, robar información o facilitar accesos no autorizados.
El laboratorio indicó que más de 700 sitios web han sido comprometidos, en relación con la explotación de la vulnerabilidad y la distribución de contenido ClickFix. Los investigadores agregaron que parte de los ataques buscaba dirigir a los usuarios hacia páginas fraudulentas que simulaban procesos legítimos de verificación técnica.