Vulnerabilidad en Ghost (CVE-2026-24778)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
27/01/2026
Última modificación:
02/02/2026
Descripción
Ghost es un sistema de gestión de contenido de código abierto. En las versiones de Ghost 5.43.0 a 5.12.04 y 6.0.0 a 6.14.0, un atacante pudo crear un enlace malicioso que, cuando era accedido por un usuario de personal o miembro autenticado, ejecutaría JavaScript con los permisos de la víctima, lo que podría llevar a la toma de control de la cuenta. Las versiones de Ghost Portal 2.29.1 a 2.51.4 y 2.52.0 a 2.57.0 eran vulnerables a este problema. Ghost carga automáticamente el último parche del componente Portal de miembros a través de CDN. Para los usuarios de Ghost 5.x, actualizar a la v5.121.0 o posterior corrige la vulnerabilidad. La v5.121.0 carga Portal v2.51.5, que contiene el parche. Para los usuarios de Ghost 6.x, actualizar a la v6.15.0 o posterior corrige la vulnerabilidad. La v6.15.0 carga Portal v2.57.1, que contiene el parche. Para las instalaciones de Ghost que utilizan una versión personalizada o autoalojada de Portal, será necesario reconstruir manualmente desde o actualizar a la última versión del parche.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ghost:ghost:*:*:*:*:*:node.js:*:* | 5.43.0 (incluyendo) | 5.121.0 (excluyendo) |
| cpe:2.3:a:ghost:ghost:*:*:*:*:*:node.js:*:* | 6.0.0 (incluyendo) | 6.15.0 (excluyendo) |
| cpe:2.3:a:ghost:portal:*:*:*:*:*:node.js:*:* | 2.29.1 (incluyendo) | 2.51.5 (excluyendo) |
| cpe:2.3:a:ghost:portal:*:*:*:*:*:node.js:*:* | 2.52.0 (incluyendo) | 2.57.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página