filter=slug:[...]order=slug:[...]Los datos expuestos pueden incluir hashes de contraseñas bcrypt, secretos de sesión y, de forma crítica, las claves de la API de Administración (Admin API) . Estas llaves abren una puerta mucho más grande: la API de administración de Ghost, que posee plena autoridad para crear y modificar publicaciones, páginas y el contenido del sitio
.
El parche llegó de manera silenciosa en la versión Ghost 6.19.1, pero muchos operadores nunca lo aplicaron, dejando la puerta abierta de par en par para su explotación .
Descubierta en mayo de 2026 por los investigadores de inteligencia de amenazas del equipo XLab de Qianxin, la campaña ya ha envenenado más de 700 dominios, incluyendo sitios de alta reputación . Las víctimas confirmadas incluyen portales propiedad de las universidades de Harvard, Oxford y Auburn, así como el motor de búsqueda centrado en la privacidad DuckDuckGo
.
Al menos dos grupos de amenazas competidores están compitiendo por comprometer los mismos sitios vulnerables. En algunos casos, los investigadores observaron una sola instancia de Ghost inyectada con el código malicioso de un grupo, solo para ser reinfectada por un rival horas más tarde .
El JavaScript inyectado es intencionalmente pequeño; actúa como un cargador de dos etapas que obtiene la lógica del ataque real desde un servidor externo . Las cargas útiles secundarias observadas incluyen:
Dado que la cadena de ataque implica tanto lecturas de la base de datos como la alteración de contenido autenticado, la remediación debe abordar la vulnerabilidad en sí y el daño derivado de un posible compromiso.
slug inusuales, así como actividad de actualización masiva en las publicaciones Los parches se distribuyen rápido, pero la adopción es siempre el verdadero cuello de botella. Esta campaña es un recordatorio aleccionador de que las vulnerabilidades de alta gravedad en los CMS no desaparecen después de su divulgación: se convierten en munición, y los atacantes apuntan activamente a las organizaciones que no recibieron el aviso.