Una vulnerabilità critica in Ghost CMS, identificata come CVE 2026 26980, viene sfruttata attivamente per compromettere siti web e distribuire attacchi ClickFix tramite iniezione di JavaScript malevolo. Il problema riguarda una SQL injection nella Content API di Ghost che consente a un attaccante non autenticato di leggere dati arbitrari dal database.
La gravità aumenta perché, una volta ottenute informazioni sensibili, è possibile recuperare la Admin API key del sito e usarla per modificare contenuti e pagine pubblicate, trasformando il CMS in un vettore di infezione su larga scala.
La falla è stata corretta a febbraio 2026 con la versione 6.19.1, ma molte installazioni risultano ancora esposte. Gli attori malevoli stanno utilizzando la chiave Admin API per alterare in massa gli articoli e inserire in fondo alle pagine un loader JavaScript. Questo codice funge da caricatore in due fasi e scarica il payload principale a runtime da un dominio esterno. Un approccio di questo tipo rende la campagna più flessibile, perché i criminali possono cambiare rapidamente il payload in base al profilo della vittima senza dover reiniettare codice su ogni sito compromesso.
Le analisi indicano una campagna di avvelenamento su larga scala con oltre 700 siti violati in settori diversi come università, blockchain, intelligenza artificiale, SaaS, ricerca sulla sicurezza, media e fintech. L’uso di siti legittimi aumenta la credibilità della truffa e migliora la riuscita degli attacchi ClickFix, che spesso puntano sulla fiducia dell’utente e su istruzioni apparentemente innocue.
Il traffico verso il payload viene gestito con tecniche di cloaking e distribuzione selettiva. In pratica, scanner automatici e crawler possono visualizzare pagine pulite, mentre i visitatori reali vengono indirizzati a una finta verifica CAPTCHA caricata in un iframe. Qui la vittima viene spinta a copiare e incollare un comando codificato in Base64 nella finestra Esegui di Windows. Questo passaggio avvia una catena di infezione che può includere download di archivi ZIP, esecuzione di script batch e comandi PowerShell per recuperare DLL o payload JavaScript, fino al rilascio di un eseguibile Windows e alla persistenza tramite applicazioni modificate che comunicano periodicamente con un server remoto.
Per ridurre il rischio, chi usa Ghost CMS dovrebbe aggiornare subito, ruotare credenziali e chiavi API, ripulire i contenuti modificati, controllare i log di accesso e valutare la notifica agli utenti potenzialmente esposti durante il periodo di compromissione.