Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Inyección SQL en la API de contenido de Ghost

Fecha de publicación 19/02/2026
Identificador
INCIBE-2026-129
Importancia
5 - Crítica
Recursos Afectados

Están afectadas las versiones de Ghost de la v3.24.0 hasta v6.19.0.

Descripción

 Nicholas Carlini ha publicado 1 vulnerabilidad crítica que, en caso de ser explotada, podría permitir a un atacante no autenticado poder leer datos arbitrarios de la base de datos.

Solución

Se recomienda actualizar a la versión v6.19.1 ya que contiene la solución correctora del problema.

Si no se puede actualizar el producto, se puede usar un proxy inverso o una regla WAF, como solución temporal, para bloquear las solicitudes de la API de contenido que contengan 'slug%3A%5B' o 'slug:[' en el parámetro de filtro de la cadena de consulta. 

Detalle

CVE-2026-26980: vulnerabilidad de inyección SQL en la API de contenido Ghost que, en caso de que sea exitosamente explotada, podría permitir a un atacante no autenticado leer datos arbitrarios de la base de datos.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-26980 Crítica No Ghost
Listado de referencias
Ghost has a SQL injection in Content API
Etiquetas