內容管理系統Ghost的SQL注入漏洞被用於大規模ClickFix網釣攻擊活動

來源:iThome(ID: 579) URL:https://www.ithome.com.tw/news/176112 發布日期:2026-05-26

漏洞概要

項目詳情
CVE編號CVE-2026-26980
類型SQL注入漏洞
位置Ghost Content API 的 slug 過濾器
CVSS評分9.4 / 10
影響版本Ghost 3.24.0 ~ 6.19.0
修補版本6.19.1(2月17日發布)

攻擊流程

  1. 利用CVE-2026-26980 無需授權讀取資料庫,取得網站API金鑰
  2. 透過API 大量竄改文章內容
  3. 植入惡意JavaScript載入工具
  4. 建置假Cloudflare人機驗證頁面(FakeCaptcha
  5. 引誘用戶在本機執行惡意命令(ClickFix網釣攻擊)

關鍵發現

  • 首次偵測:奇安信於5月7日偵測到攻擊活動
  • 零日利用:駭客在官方發布修補前已掌握漏洞資訊並準備惡意酬載
  • 規模:超過 700個網域遭污染
  • 受害範圍:大學、區塊鏈、AI、SaaS、資安研究、新聞媒體、金融科技等領域知名網站
  • 競爭態勢:發現兩組駭客團體搶奪同一批網站,部分網站單日被植入不同惡意程式碼

建議行動

  • 立即升級 Ghost CMS 至 6.19.1 或更新版本
  • 檢查網站文章是否遭竄改
  • 審查API金鑰是否外洩

衍生頁面