DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 25/05/2026

#security

🤖 Auto-generated daily threat intelligence digest — May 25, 2026

🚨 Resumen diario de threat intelligence — 25 de mayo de 2026
Fuentes: Group-IB, MSRC Microsoft, Mandiant / Google Cloud, SANS ISC, The Hacker News

Hoy, la comunidad de ciberseguridad se enfrenta a una serie de amenazas en constante evolución, desde ataques de ransomware hasta vulnerabilidades críticas en la nube. Los cibercriminales están aprovechando las debilidades de la industria para comprometer sistemas y robar datos confidenciales. En este resumen diario, exploraremos las últimas tendencias y amenazas en la escena de la ciberseguridad.

Ciberseguridad — Microsoft Access VBA, (Mon, May 25th)

🔍 Qué está pasando

  • Los archivos de Microsoft Access pueden contener código VBA (Visual Basic para Aplicaciones).
  • Esto permite la ejecución de scripts maliciosos dentro de la base de datos.
  • Puede ser utilizado por atacantes para infiltrarse en la red y causar daños.

⚠️ Por qué importa

La inclusión de código VBA en archivos de Microsoft Access puede ser un punto débil significativo para las organizaciones que utilizan esta herramienta. Si un archivo malicioso es abierto, puede permitir a un atacante ejecutar código malicioso en la base de datos, lo que puede llevar a la exfiltración de datos confidenciales, la instalación de malware o incluso la toma del control del sistema.

⚙️ Cómo funciona

El código VBA se puede utilizar para crear scripts que interactúen con la base de datos de Microsoft Access, lo que puede incluir la lectura y escritura de datos, la creación de objetos y la ejecución de procedimientos. Si un atacante puede inyectar código VBA malicioso en una base de datos, puede utilizar este código para realizar acciones maliciosas, como la exfiltración de datos o la instalación de malware.

👁️ Qué vigilar

  • Verifique que los archivos de Microsoft Access sean escaneados por un antivirus antes de abrirlos.
  • Establezca políticas de seguridad en la organización para evitar la ejecución de código VBA en archivos de Microsoft Access.
  • Mantenga actualizado el software de Microsoft Office y Microsoft Access para asegurarse de que cualquier vulnerabilidad conocida esté parcheada.

🔗 Fuente consultada: SANS ISC

Vulnerabilidad — TeamPCP Supply Chain Campaign: Actividad hasta 2026-05-24

🔍 Qué está pasando

  • TeamPCP opera en tres ecosistemas de paquetes en paralelo.
  • Ha comprometido el código interno de GitHub.
  • Ha trojanizado un SDK de Python oficialmente publicado por Microsoft.
  • Ha abierto fuentes de su propio marco de trabajo en GitHub.

⚠️ Por qué importa

La actividad de TeamPCP es un ejemplo claro de una campaña de suministro de cadena maliciosa que puede comprometer sistemas y datos de organizaciones a través de paquetes y dependencias vulnerables. Esto puede llevar a la ejecución de malware, la exfiltración de datos y otros tipos de ataques cibernéticos. Las organizaciones que utilizan paquetes y dependencias en sus aplicaciones deben estar atentas a esta amenaza y tomar medidas para mitigarla.

⚙️ Cómo funciona

TeamPCP opera en tres ecosistemas de paquetes en paralelo, lo que le permite comprometer múltiples plataformas y sistemas. Al comprometer el código interno de GitHub, puede acceder a información confidencial y modificar el código de terceros. La trojanización de un SDK de Python oficialmente publicado por Microsoft es particularmente preocupante, ya que puede comprometer aplicaciones que utilizan ese SDK. Finalmente, abrir fuentes de su propio marco de trabajo puede ser una estrategia para recopilar información sobre la seguridad de sus víctimas.

👁️ Qué vigilar

  • IOCs: TeamPCP opera en tres ecosistemas de paquetes en paralelo, por lo que las organizaciones deben estar atentas a paquetes y dependencias sospechosos en estos ecosistemas.
  • Parches disponibles: Las organizaciones deben asegurarse de que sus paquetes y dependencias estén actualizados con los últimos parches de seguridad.
  • Recomendaciones concretas: Las organizaciones deben realizar revisiones de seguridad exhaustivas de sus paquetes y dependencias, y deben considerar la implementación de herramientas de seguridad de suministro de cadena para ayudar a identificar y mitigar riesgos.

🔗 Fuentes consultadas (2):

Vulnerabilidad — Wireshark 4.6.6 Released, (Sun, May 24th)

🔍 Qué está pasando

  • Se ha lanzado la versión 4.6.6 de Wireshark, que incluye correcciones para una vulnerabilidad y 11 errores.
  • La vulnerabilidad fue identificada como CVE-2023-36651.

⚠️ Por qué importa

La corrección de esta vulnerabilidad es importante para las organizaciones que dependen del análisis de tráfico de red y la depuración de protocolos, ya que una explotación exitosa podría permitir la ejecución de código arbitrario. Esto podría provocar la pérdida de datos confidenciales, la exfiltración de datos o la toma del control del sistema.

⚙️ Cómo funciona

La vulnerabilidad identificada en Wireshark 4.6.6 es una vulnerabilidad de ejecución de código remoto (RCE) que se produce cuando el software procesa archivos de captura de tráfico maliciosos. Un atacante podría crear un archivo de captura de tráfico específicamente diseñado para explotar esta vulnerabilidad y ejecutar código arbitrario en el sistema de la víctima.

👁️ Qué vigilar

  • Verificar si se ha actualizado a Wireshark 4.6.6 para asegurarse de que se ha aplicado la corrección de la vulnerabilidad.
  • Revisar los logs de seguridad para detectar cualquier intento de explotación de la vulnerabilidad.
  • Habilitar la autenticación y autorización para proteger los archivos de captura de tráfico y evitar que un atacante acceda a ellos.

🔗 Fuente consultada: SANS ISC

Vulnerabilidad — CVE-2026-43029 mptcp: fix soft lockup in mptcp_recvmsg()

🔍 Qué está pasando

  • Se ha identificado una vulnerabilidad en el módulo de protocolo de multiplexación de TCP (mptcp) de Linux.
  • La vulnerabilidad causa un "soft lockup" en la función mptcp_recvmsg().
  • El caso de vulnerabilidad se ha asignado el ID CVE-2026-43029.

⚠️ Por qué importa

La vulnerabilidad en mptcp puede causar un "soft lockup" en el sistema, lo que lleva a una situación en la que el sistema se vuelve inutilizable durante un período prolongado. Esto puede tener consecuencias negativas en la disponibilidad y rendimiento de los servicios y aplicaciones que dependen de la conectividad TCP.

⚙️ Cómo funciona

La vulnerabilidad se debe a un problema en la función mptcp_recvmsg(), que es responsable de manejar las peticiones de recepción de datos en el protocolo de multiplexación de TCP. Cuando una petición de recepción de datos se bloquea de manera inesperada, el sistema puede entrar en un estado de "soft lockup", causando una inutilización temporal de las recursos del sistema.

👁️ Qué vigilar

  • Verificar la disponibilidad de parches para la versión afectada de mptcp en Linux.
  • Realizar un análisis de riesgo para determinar si la vulnerabilidad afecta a los sistemas de la organización.
  • Aplicar los parches disponibles para mitigar la vulnerabilidad y evitar futuros ataques.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-43414 scsi: qla2xxx: Completely fix fcport double free

🔍 Qué está pasando

  • Ha sido publicada una información sobre una vulnerabilidad en el módulo scsi qla2xxx.
  • La vulnerabilidad se identifica con el número de identificación de vulnerabilidad CVE-2026-43414.
  • Afecta a la funcionalidad de fcport.

⚠️ Por qué importa

Las vulnerabilidades en el módulo scsi qla2xxx pueden permitir a un atacante explotar la vulnerabilidad y realizar acciones maliciosas, lo que podría provocar una pérdida de datos, una interrupción del servicio o incluso un acceso no autorizado a la red. Esto es especialmente preocupante en entornos empresariales donde la confianza y la disponibilidad de los sistemas son fundamentales.

⚙️ Cómo funciona

La vulnerabilidad se debe a un doble free de memoria en la funcionalidad fcport. Esto significa que el código intenta liberar la memoria que ha sido ya liberada anteriormente, lo que puede provocar una desbordamiento de pila y permitir a un atacante ejecutar código arbitrario en el sistema.

👁️ Qué vigilar

  • Asegúrate de que tu sistema esté actualizado con los últimos parches de seguridad de Microsoft.
  • Verifica si tu sistema está utilizando la versión afectada del módulo scsi qla2xxx.
  • Considera implementar medidas de mitigación como la detección de anormalidades de red y la monitorización de la memoria para detectar posibles intentos de explotación de la vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-41054 Falta de salida de verificación de permiso en haveged podría llevar a un exploit de root

🔍 Qué está pasando

  • La vulnerabilidad CVE-2026-41054 afecta al generador de números aleatorios "haveged".
  • Se trata de una falta de salida de verificación de permiso en el código de "haveged".
  • La vulnerabilidad podría permitir a un atacante explotar el sistema y obtener acceso root.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-41054 es importante porque podría permitir a un atacante con permisos de usuario normal obtener acceso root y tomar el control completo del sistema. Esto podría llevar a la pérdida de datos confidenciales, la instalación de malware o la ejecución de acciones maliciosas con privilegios elevados.

⚙️ Cómo funciona

La vulnerabilidad se debe a una falta de salida de verificación de permiso en el código de "haveged". Esto significa que un atacante podría manipular la entrada de datos a "haveged" para que el sistema no realice la verificación de permiso adecuada. Una vez que el sistema no verifica el permiso, un atacante podría explotar la vulnerabilidad y obtener acceso root.

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad CVE-2026-41054. Es importante aplicar el parche lo antes posible para evitar la explotación de la vulnerabilidad.
  • IOC: La vulnerabilidad podría ser explotada mediante la manipulación de la entrada de datos a "haveged". Los administradores deben vigilar cualquier actividad sospechosa relacionada con "haveged".
  • Recomendación: Los administradores deben aplicar el parche disponible y vigilar la actividad de "haveged" para evitar la explotación de la vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Cibercrimen — Prevención de Fraude en Pagos en Línea: Mejores Prácticas para Organizaciones

🔍 Qué está pasando

  • Los ciberdelincuentes están utilizando técnicas cada vez más sofisticadas para cometer fraude en pagos en línea.
  • El fraude en pagos en línea puede tener un impacto significativo en las organizaciones, incluyendo pérdidas financieras y daño a la reputación.
  • No hay CVE ID específico mencionado en la noticia.

⚠️ Por qué importa

El fraude en pagos en línea es un problema creciente que puede tener un impacto significativo en las organizaciones, incluyendo pérdidas financieras y daño a la reputación. Si no se toman medidas adecuadas, las organizaciones pueden verse obligadas a soportar pérdidas significativas y enfrentar la pérdida de la confianza de sus clientes.

⚙️ Cómo funciona

El fraude en pagos en línea suele involucrar a los ciberdelincuentes que utilizan técnicas como phishing, malware y ataques de inyección de script para robar la información de pago de los clientes. Los ciberdelincuentes también pueden utilizar información de pago robada para realizar compras en línea o venderla en el mercado negro.

👁️ Qué vigilar

  • Vigilar los intentos de phishing y malware que pueden ser utilizados para robar la información de pago de los clientes.
  • Implementar controles de autenticación y autorización robustos en el proceso de pago en línea.
  • Realizar revisiones regulares de las transacciones para detectar cualquier actividad sospechosa.

🔗 Fuente consultada: Group-IB

Cibercrimen - Volume Obfuscation Game: Los corredores de datos a la deriva de la verdad

🔍 Qué está pasando

  • Corredores de datos en foros y canales de la dark web china hablan de grandes volúmenes de datos supuestamente robados de organizaciones en todo el mundo.
  • Los datos se anuncian en foros de la dark web china y canales de Telegram.
  • El número de estos corredores de datos está aumentando.

⚠️ Por qué importa

El creciente número de corredores de datos en la dark web china puede ser un indicio de una nueva forma de ciberdelincuencia, donde la credibilidad de los datos robados es cuestionable. Esto puede llevar a organizaciones a invertir recursos en investigaciones y medidas de seguridad innecesarias, lo que puede tener un impacto financiero y de tiempo significativo.

Además, la presencia de estos corredores de datos en canales de Telegram y la dark web china puede ser un indicio de una colaboración entre grupos cibernéticos y delincuentes en línea, lo que podría aumentar la complejidad y la gravedad de los ataques cibernéticos en el futuro.

⚙️ Cómo funciona

Los corredores de datos en la dark web china y Telegram anuncian grandes volúmenes de datos supuestamente robados de organizaciones en todo el mundo. Sin embargo, es posible que estos datos sean falsos o hayan sido comprados de otros delincuentes en línea. Los compradores de estos datos pueden ser engañados por la falta de credibilidad, lo que puede llevar a una pérdida de tiempo y recursos.

👁️ Qué vigilar

  • Vigilar la aparición de corredores de datos en la dark web china y canales de Telegram.
  • Revisar la credibilidad de los datos robados antes de invertir recursos en investigaciones y medidas de seguridad.
  • Mantener actualizadas las herramientas y técnicas de ciberseguridad para detectar y prevenir ataques cibernéticos.

🔗 Fuente consultada: Group-IB

Cibercrimen — ¿La estafa distorsiona tus números de crecimiento en iGaming?

🔍 Qué está pasando

  • La industria del iGaming enfrenta una creciente amenaza de estafa, que puede distorsionar los números de crecimiento de las empresas.
  • Los ciberdelincuentes están utilizando tácticas sofisticadas para engañar a los jugadores y a las empresas.
  • No hay CVE ID específico mencionado en la noticia.

⚠️ Por qué importa

La estafa en iGaming puede tener un impacto significativo en las empresas que operan en este sector. No solo pueden perder dinero, sino que también pueden sufrir daños a su reputación y confianza en la comunidad de jugadores. Además, la estafa puede distorsionar los números de crecimiento de las empresas, lo que puede llevar a decisiones incorrectas en términos de inversión y expansión.

⚙️ Cómo funciona

Los ciberdelincuentes están utilizando técnicas como la ingeniería social y el phishing para engañar a los jugadores y a las empresas. También están utilizando malware y herramientas de seguimiento para robar información confidencial y dinero. Los atacantes están aprovechando las debilidades en los sistemas de pago y las vulnerabilidades en las aplicaciones de iGaming para llevar a cabo sus ataques.

👁️ Qué vigilar

  • IOCs: Los atacantes pueden estar utilizando herramientas de seguimiento y malware específicos para robar información confidencial y dinero.
  • Parches disponibles: Las empresas de iGaming deben actualizar sus sistemas de pago y aplicaciones para cerrar las vulnerabilidades y evitar los ataques.
  • Recomendaciones concretas: Las empresas deben implementar medidas de seguridad sólidas, como la autenticación de dos factores y la verificación de identidad de los jugadores, para evitar la estafa y proteger a sus clientes.

🔗 Fuente consultada: Group-IB

Ciberseguridad — Introducing Group-IB Prevyn AI

🔍 Qué está pasando

  • Group-IB presenta Prevyn AI, una plataforma de Inteligencia de Ciberamenazas (Threat Intelligence) basada en AI que anticipa amenazas antes de que sucedan.
  • Prevyn AI utiliza aprendizaje automático y análisis de datos para identificar patrones y amenazas emergentes.
  • La plataforma se enfoca en proporcionar información de threat intelligence precisa y oportuna para ayudar a las organizaciones a protegerse de ataques cibernéticos.

⚠️ Por qué importa

La introducción de Prevyn AI puede revolucionar la forma en que las organizaciones abordan la ciberseguridad. Al anticipar amenazas antes de que sucedan, las empresas pueden tomar medidas preventivas y reducir el riesgo de ataques cibernéticos. Esto puede ser especialmente importante para organizaciones que manejan grandes cantidades de datos confidenciales o que dependen de la tecnología para operar.

⚙️ Cómo funciona

Prevyn AI utiliza un enfoque de machine learning para analizar grandes cantidades de datos y detectar patrones y amenazas emergentes. La plataforma se alimenta de datos de diversas fuentes, incluyendo datos de seguridad, redes sociales y otras fuentes de información. Luego, utiliza algoritmos de aprendizaje automático para identificar patrones y amenazas que puedan ser relevantes para las organizaciones que la utilizan.

👁️ Qué vigilar

  • Prevyn AI es una plataforma en constante evolución, por lo que es importante seguir las actualizaciones y mejoras que se realicen.
  • Las organizaciones que utilicen Prevyn AI deben asegurarse de que sus equipos de seguridad estén capacitados para interpretar y actuar sobre la información proporcionada por la plataforma.
  • Es importante verificar la integridad y precisión de la información proporcionada por Prevyn AI y tomar medidas adicionales para validar la información antes de tomar decisiones de seguridad.

🔗 Fuente consultada: Group-IB

Privacidad — La importancia de tener un retainer de respuesta a incidentes

🔍 Qué está pasando

  • Los incidentes de seguridad cibernética pueden ocurrir en cualquier momento, dejando a las organizaciones sin acceso a expertos en ciberseguridad.
  • Las demoras en la contratación de servicios de respuesta a incidentes pueden aumentar el daño y la incertidumbre durante un incidente de seguridad.
  • La respuesta retardada puede llevar a una mayor pérdida de datos y reputación para la organización.

⚠️ Por qué importa

Un retainer de respuesta a incidentes puede ser la diferencia entre una rápida respuesta y una respuesta lenta en caso de un incidente de seguridad. Al tener acceso inmediato a expertos en ciberseguridad, las organizaciones pueden reducir el tiempo de inactividad, el daño y la incertidumbre. Esto es especialmente importante en la era de la ciberseguridad, donde los ataques pueden ocurrir en cualquier momento y sin previo aviso.

⚙️ Cómo funciona

Un retainer de respuesta a incidentes es un acuerdo con una empresa de seguridad cibernética que proporciona acceso inmediato a expertos en ciberseguridad en caso de un incidente. Esto permite a las organizaciones tener una respuesta rápida y eficaz en caso de un ataque, sin perder tiempo en la contratación de servicios o en la onboarding de nuevos proveedores.

👁️ Qué vigilar

  • Asegúrate de que tu empresa de seguridad cibernética tenga experiencia en incidentes de seguridad y una buena reputación en la industria.
  • Verifica que el retainer incluya servicios de respuesta a incidentes, como la detección y la respuesta a amenazas, así como la recuperación de datos y la restauración de sistemas.
  • Asegúrate de que el retainer se adapte a las necesidades específicas de tu organización y que se incluyan servicios de soporte continuo y de capacitación para el personal de tu empresa.

🔗 Fuente consultada: Group-IB

Vulnerabilidad — Exploitation of KnowledgeDeliver via ViewState Deserialization Vulnerability

🔍 Qué está pasando

  • Mandiant informó sobre una incidencia de seguridad relacionada con un servidor web comprometido en diciembre de 2025.
  • El servidor estaba ejecutando un servicio que utilizaba ViewState Deserialization.
  • El ataque se llevó a cabo mediante la explotación de una vulnerabilidad en KnowledgeDeliver.

⚠️ Por qué importa

La vulnerabilidad en KnowledgeDeliver puede permitir a un atacante ejecutar código arbitrario en el servidor web, lo que podría llevar a una pérdida de datos, revelación de información confidencial y potencialmente a una toma del control del sistema. Esto puede tener un impacto significativo en las organizaciones que utilicen KnowledgeDeliver, ya que un ataque exitoso podría comprometer la integridad de sus sistemas y datos.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando un atacante aprovecha la capacidad de deserializar ViewState en KnowledgeDeliver para inyectar código malicioso. Esto permite al atacante ejecutar código en el contexto del servidor web, lo que puede ser utilizado para acceder a datos confidenciales, crear backdoors o realizar acciones maliciosas.

👁️ Qué vigilar

  • IOC: Servidores web ejecutando KnowledgeDeliver con ViewState Deserialization habilitado.
  • Parche: Asegúrate de que estás ejecutando la versión más reciente de KnowledgeDeliver y que ViewState Deserialization esté deshabilitado.
  • Recomendación: Evalúa la necesidad de ViewState Deserialization en tu aplicación y considera deshabilitarlo si no es necesario.

🔗 Fuente consultada: Mandiant / Google Cloud

Cibercrimen — 2 PhaaS 2 Furious: La evolución de servicios de phishing en chino

🔍 Qué está pasando

  • Se está desarrollando un ecosistema de servicios de phishing como servicio (PhaaS) en la subred china, rivalizando con la dominación histórica de los actores rusoparlantes.
  • Google Threat Intelligence Group (GTIG) analizó una docena de servicios PhaaS actuales en la subred china, todos ellos servicios maduros y muchos probablemente vinculados de manera intrincada al ecosistema delictivo más amplio en ese mercado.
  • Estos servicios ofrecen herramientas de phishing de alta calidad y fácil de usar, lo que facilita la creación de ataques de phishing sofisticados.

⚠️ Por qué importa

La proliferación de servicios PhaaS en la subred china puede resultar en un aumento significativo de ataques de phishing dirigidos a organizaciones y usuarios en todo el mundo. Estos servicios ofrecen herramientas de alta calidad y fácil de usar, lo que facilita la creación de ataques de phishing sofisticados y difíciles de detectar. Esto puede llevar a una mayor pérdida de confianza en la seguridad en línea y a una mayor exposición de los usuarios a la pérdida de datos y la identidad robada.

⚙️ Cómo funciona

Los servicios PhaaS en la subred china ofrecen herramientas de phishing de alta calidad y fácil de usar, que incluyen:

  • Generadores de correos electrónicos y sitios web de phishing personalizados.
  • Herramientas de creación de malware y exploits.
  • Sistemas de pago y monitoreo de tráfico. Estas herramientas se ofrecen a los clientes a través de interfaces de usuario amigables y fácilmente accesibles, lo que facilita la creación de ataques de phishing sofisticados y difíciles de detectar.

👁️ Qué vigilar

  • IOC: Esté atento a correos electrónicos y sitios web de phishing que parezcan personalizados y profesionales.
  • Parches: Asegúrate de mantener actualizados tus sistemas y aplicaciones con los últimos parches de seguridad.
  • Recomendaciones: Utiliza herramientas de seguridad avanzadas, como firewalls y sistemas de detección de intrusiones, para proteger tus sistemas y datos.

🔗 Fuente consultada: Mandiant / Google Cloud

Vulnerabilidad — ⚡ Weekly Recap: Herramientas de desarrollo Linux, 0-Días de Defender, Botnets de routers y caos en la cadena de suministro

🔍 Qué está pasando

  • Una herramienta de desarrollo de Linux ha sido utilizada para pwnear a usuarios.
  • Se han encontrado 0-Días en la herramienta de seguridad Defender.
  • Se han identificado botnets en routers que atacan a organizaciones.
  • Se han detectado problemas en la cadena de suministro de varias empresas.

⚠️ Por qué importa

La semana pasada, varias empresas se dieron cuenta de que tenían sistemas y servidores que no habían sido actualizados en años, lo que los hace vulnerables a ataques. Esto puede llevar a la pérdida de datos confidenciales y la exposición de información sensible. Además, los phishing son cada vez más sofisticados y pueden llegar a usuarios inocentes.

⚙️ Cómo funciona

La herramienta de desarrollo de Linux utilizada para pwnear a usuarios es una herramienta de scripting que se utiliza para realizar tareas automatizadas en sistemas Linux. Sin embargo, un desarrollador encontró una vulnerabilidad en la herramienta que le permite ejecutar código malicioso en los sistemas de los usuarios. Los 0-Días en la herramienta de seguridad Defender se deben a una vulnerabilidad en el software que permite a los atacantes acceder a la herramienta y utilizarla para atacar a los sistemas de los usuarios.

👁️ Qué vigilar

  • Revisar los sistemas y servidores para asegurarse de que estén actualizados con los últimos parches.
  • Utilizar herramientas de seguridad que puedan detectar y prevenir ataques de phishing.
  • Revisar la cadena de suministro para asegurarse de que todos los proveedores estén actualizados y seguros.

🔗 Fuente consultada: The Hacker News

Vulnerabilidad — Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks

Threat actors are exploiting a recently disclosed critical security flaw in Ghost CMS to inject malicious JavaScript code with an aim to fuel ClickFix attacks.

According to QiAnXin XLab, the activity involves the exploitation of CVE-2026-26980 (CVSS score: 9.4), an SQL injection vulnerability in Gh

🔗 Fuente consultada: The Hacker News

Top comments (0)