.png)
há 1 hora
3
O Ghost, sistema de gerenciamento de conteúdo baseado em Node.js, apresenta uma vulnerabilidade de injeção de SQL que permite a leitura de informações do banco de dados por atacantes não autenticados. A falha, identificada como CVE-2026-26980, afeta todas as versões entre 3.24.0 e 6.19.0. A correção foi publicada na versão 6.19.1.
O problema está na funcionalidade de ordenação do filtro “slug” da API de Conteúdo. O código original insere valores fornecidos pelo usuário diretamente em instruções SQL sem a devida sanitização, usando interpolação de strings. Um invasor pode enviar valores maliciosos que quebram o contexto original e injetam comandos SQL arbitrários.
Segundo os especialistas da SentinelOne, empresa que catalogou a vulnerabilidade, o vetor de ataque exige apenas requisições de rede à API afetada. Não é necessária qualquer autenticação. A exploração bem-sucedida permite a extração de credenciais de usuários, tokens de autenticação e configurações do site.
Correção disponível
A versão 6.19.1 do Ghost substitui a concatenação de strings por consultas parametrizadas, tratando a entrada do usuário como dado e não como código executável. O GitHub Security Advisory GHSA-w52v-v783-gw97 e o commit de correção fornecem detalhes técnicos da alteração.
O comando “ghost update” atualiza a instalação para a versão corrigida. Administradores devem verificar a versão instalada com “ghost version” e confirmar que estão na 6.19.1 ou superior. Caso a atualização imediata não seja possível, o relatório recomenda o uso de firewall de aplicação web com regras de detecção de injeção de SQL, restrição de acesso à API por intervalos confiáveis de IP e monitoramento de requisições anômalas.
A publicação da vulnerabilidade no banco de dados do NVD ocorreu em 20 de fevereiro de 2026. O comunicado da SentinelOne não informa exploração ativa da falha nem número de sistemas afetados.
English (US) · 
Portuguese (BR) ·