Ghost CMS SQL注入漏洞CVE-2026-26980被用於大規模ClickFix網釣攻擊

概述

Ghost CMS(開源內容管理系統)的 Content API slug 過濾器存在 SQL 注入漏洞(CVE-2026-26980,CVSS 9.4),攻擊者無需授權即可讀取資料庫並竊取 API 金鑰,進而篡改網站內容、植入 ClickFix 社交工程攻擊鏈,已有超過 700 個網域遭污染。

漏洞細節

項目詳情
CVECVE-2026-26980
類型SQL 注入(無需授權)
位置Ghost Content API slug 過濾器
CVSS9.4
影響版本Ghost 3.24.0 ~ 6.19.0
修補版本6.19.1(2026-02-17 發布)

攻擊鏈

  1. 利用 CVE-2026-26980 無授權讀取資料庫 → 取得 API 金鑰
  2. 透過 API 大量竄改網站文章內容
  3. 植入惡意 JavaScript 載入工具
  4. 建置假 Cloudflare FakeCaptcha 人機驗證頁面
  5. 引誘訪客在本機執行惡意命令(ClickFix 社交工程)

關鍵數據

  • 首次偵測:奇安信 2026-05-07
  • 規模:逾 700 個網域污染
  • 零日利用:修補發布前已有惡意酬載準備就緒
  • 雙組攻擊者:同一批網站有兩組駭客競爭植入

受害範圍

大學、區塊鏈、AI、SaaS、資安研究、新聞媒體、金融科技等領域知名網站。

緩解建議

  • 立即升級 Ghost CMS 至 6.19.1 以上版本
  • 審查網站文章內容是否遭篡改
  • 撤銷並重置 Ghost API 金鑰

相關概念

相關實體

來源文章