FixVibe
Covered by FixVibecritical

Inxección SQL no contido Ghost API (CVE-2026-26980) ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG1 As versións de Ghost 3.24.0 a 6.19.0 son vulnerables a unha inxección de SQL crítica no contido API (CVE-2026-26980), permitindo o acceso a datos sen autenticar. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG2 As versións de Ghost 3.24.0 a 6.19.0 conteñen unha vulnerabilidade de inxección SQL crítica no contido CVE-2026-26980. Isto permite aos atacantes non autenticados executar comandos SQL arbitrarios, o que pode levar á exfiltración de datos ou modificacións non autorizadas. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG3 ## Impacto ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG4 As versións de Ghost 3.24.0 a 6.19.0 son susceptibles a unha vulnerabilidade crítica de inxección de SQL no contido ZXCVFIXVIBETOKEN4ZXCV CVE-2026-26980. Un atacante non autenticado pode explotar esta falla para executar comandos SQL arbitrarios contra a base de datos subxacente API. A explotación exitosa pode provocar a exposición de datos sensibles do usuario ou a modificación non autorizada do contido do sitio ZXCVFIXVIBETOKEN2ZXCV. A esta vulnerabilidade asignouse unha puntuación CVSS de 9,4, que reflicte a súa gravidade crítica ZXCVFIXVIBETOKEN3ZXCV. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG5 ## Causa raíz ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG6 O problema deriva dunha validación de entrada incorrecta dentro do contido Ghost ZXCVFIXVIBETOKEN3ZXCV CVE-2026-26980. En concreto, a aplicación non consegue desinfectar correctamente os datos proporcionados polo usuario antes de incorporalos ás consultas SQL API. Isto permite que un atacante manipule a estrutura de consulta inxectando fragmentos SQL maliciosos ZXCVFIXVIBETOKEN2ZXCV. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG7 ## Versións afectadas ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG8 As versións pantasma a partir do **3.24.0** ata o **6.19.0** incluído son vulnerables a este problema CVE-2026-26980API. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG9 ## Remediación ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG10 Os administradores deben actualizar a súa instalación de Ghost á versión **6.19.1** ou posterior para resolver esta vulnerabilidade CVE-2026-26980. Esta versión inclúe parches que neutralizan correctamente a entrada utilizada nas consultas de contido ZXCVFIXVIBETOKEN2ZXCV API. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG11 ## Identificación de vulnerabilidades ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG12 A identificación desta vulnerabilidade implica verificar a versión instalada do paquete CVE-2026-26980 contra o intervalo afectado (3.24.0 a 6.19.0) API. Os sistemas que executan estas versións considéranse con alto risco de inxección de SQL mediante o contido ZXCVFIXVIBETOKEN3ZXCV ZXCVFIXVIBETOKEN2ZXCV.

Ghost versions 3.24.0 through 6.19.0 contain a critical SQL injection vulnerability in the Content API. This allows unauthenticated attackers to execute arbitrary SQL commands, potentially leading to data exfiltration or unauthorized modifications.

CVE-2026-26980GHSA-w52v-v783-gw97CWE-89

Impact

Ghost versions 3.24.0 through 6.19.0 are susceptible to a critical SQL injection vulnerability in the Content API [S1]. An unauthenticated attacker can exploit this flaw to execute arbitrary SQL commands against the underlying database [S2]. Successful exploitation could result in the exposure of sensitive user data or unauthorized modification of site content [S3]. This vulnerability has been assigned a CVSS score of 9.4, reflecting its critical severity [S2].

Root Cause

The issue stems from improper input validation within the Ghost Content API [S1]. Specifically, the application fails to correctly sanitize user-supplied data before incorporating it into SQL queries [S2]. This allows an attacker to manipulate the query structure by injecting malicious SQL fragments [S3].

Affected Versions

Ghost versions starting from 3.24.0 up to and including 6.19.0 are vulnerable to this issue [S1][S2].

Remediation

Administrators should upgrade their Ghost installation to version 6.19.1 or later to resolve this vulnerability [S1]. This version includes patches that properly neutralize input used in Content API queries [S3].

Vulnerability Identification

Identification of this vulnerability involves verifying the installed version of the ghost package against the affected range (3.24.0 to 6.19.0) [S1]. Systems running these versions are considered at high risk for SQL injection via the Content API [S2].