← Alertas
Phishing Activa

Ghost CMS comprometido en campaña masiva de ClickFix

Una campaña masiva explota una vulnerabilidad crítica en Ghost CMS para inyectar código que muestra avisos falsos a los visitantes y los manipula para que ejecuten malware en sus propios equipos. Los sitios sin actualizar pueden estar comprometidos sin saberlo.

2026-05-24 · BleepingComputer

Contexto

Se detectó una campaña a gran escala. Explota CVE-2026-26980, una vulnerabilidad crítica en Ghost CMS. Ghost CMS es la plataforma de código abierto usada para blogs y newsletters. La falla es de inyección SQL: permite insertar comandos directamente en la base de datos del sitio y modificar su contenido.

Los atacantes inyectan código en los sitios comprometidos. Ese código muestra un aviso falso a los visitantes. Simula una advertencia de seguridad. Simula un CAPTCHA. Le pide al visitante que copie y ejecute un comando en su equipo. Quien obedece instala malware sin darse cuenta. La técnica se llama ClickFix.

Impacto potencial

Dos grupos afectados. Consecuencias distintas.

Operadores de Ghost CMS: el sitio sirve malware a sus lectores. Sin que el administrador lo sepa. La reputación cae. El hosting puede suspender el dominio si detecta actividad maliciosa. Si los lectores son clientes o suscriptores, la empresa puede ser responsable por los daños causados desde su plataforma.

Visitantes de sitios comprometidos: quien sigue el aviso instala malware. Roba contraseñas y sesiones activas del navegador. Correo, banca en línea, herramientas de trabajo. Para un empleado, puede ser el punto de entrada de un incidente más amplio.

Recomendaciones

Leer fuente original →