Ghost CMS SQL注入漏洞CVE-2026-26980被用於大規模ClickFix網釣攻擊
概述
Ghost CMS(開源內容管理系統)的 Content API slug 過濾器存在 SQL 注入漏洞(CVE-2026-26980,CVSS 9.4),攻擊者無需授權即可讀取資料庫並竊取 API 金鑰,進而篡改網站內容、植入 ClickFix 社交工程攻擊鏈,已有超過 700 個網域遭污染。
漏洞細節
| 項目 | 詳情 |
|---|---|
| CVE | CVE-2026-26980 |
| 類型 | SQL 注入(無需授權) |
| 位置 | Ghost Content API slug 過濾器 |
| CVSS | 9.4 |
| 影響版本 | Ghost 3.24.0 ~ 6.19.0 |
| 修補版本 | 6.19.1(2026-02-17 發布) |
攻擊鏈
- 利用 CVE-2026-26980 無授權讀取資料庫 → 取得 API 金鑰
- 透過 API 大量竄改網站文章內容
- 植入惡意 JavaScript 載入工具
- 建置假 Cloudflare FakeCaptcha 人機驗證頁面
- 引誘訪客在本機執行惡意命令(ClickFix 社交工程)
關鍵數據
- 首次偵測:奇安信 2026-05-07
- 規模:逾 700 個網域污染
- 零日利用:修補發布前已有惡意酬載準備就緒
- 雙組攻擊者:同一批網站有兩組駭客競爭植入
受害範圍
大學、區塊鏈、AI、SaaS、資安研究、新聞媒體、金融科技等領域知名網站。
緩解建議
- 立即升級 Ghost CMS 至 6.19.1 以上版本
- 審查網站文章內容是否遭篡改
- 撤銷並重置 Ghost API 金鑰
相關概念
- 駭客濫用MSHTA無檔案攻擊LummaStealer與ClickFix社交工程 — ClickFix 社交工程手法背景
相關實體
- ghost-cms — 漏洞所在產品