Inyección SQL en la API de contenido de Ghost
Están afectadas las versiones de Ghost de la v3.24.0 hasta v6.19.0.
Nicholas Carlini ha publicado 1 vulnerabilidad crítica que, en caso de ser explotada, podría permitir a un atacante no autenticado poder leer datos arbitrarios de la base de datos.
Se recomienda actualizar a la versión v6.19.1 ya que contiene la solución correctora del problema.
Si no se puede actualizar el producto, se puede usar un proxy inverso o una regla WAF, como solución temporal, para bloquear las solicitudes de la API de contenido que contengan ‘slug%3A%5B’ o ‘slug:[‘ en el parámetro de filtro de la cadena de consulta.
CVE-2026-26980: vulnerabilidad de inyección SQL en la API de contenido Ghost que, en caso de que sea exitosamente explotada, podría permitir a un atacante no autenticado leer datos arbitrarios de la base de datos.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-26980 | Crítica | No | Ghost |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.