Zu den begehrten Zieldaten zählen bcrypt-Passwort-Hashes, Sitzungsgeheimnisse und vor allem die Admin-API-Schlüssel . Diese Schlüssel öffnen eine weitaus größere Tür: die Ghost Admin-API, die volle Kontrolle über Beiträge, Seiten und Inhalte gewährt.
Der Patch kam unauffällig mit der Ghost-Version 6.19.1; viele Betreiber spielten ihn jedoch nie ein und ließen die Tür für Angreifer sperrangelweit offen .
Entdeckt wurde die laufende Angriffswelle im Mai 2026 vom Threat-Intelligence-Team XLab des chinesischen Cybersicherheitsunternehmens Qianxin. Die Bilanz ist alarmierend: Mehr als 700 Domains sind bereits vergiftet, darunter auch renommierte Einrichtungen . Zu den bestätigten Opfern zählen Portale der Harvard University, der Oxford University, der Auburn University sowie die für ihren Datenschutz bekannte Suchmaschine DuckDuckGo
.
Das Besondere an dieser Kampagne: Mindestens zwei konkurrierende Angriffsgruppen liefern sich ein regelrechtes Wettrennen um dieselben verwundbaren Ziele. Mehrfach beobachteten die Forscher, dass eine Ghost-Instanz zunächst mit dem Code der einen Gruppe infiziert, nur Stunden später aber bereits von einem Rivalen mit dessen Schadcode überschrieben wurde .
Das eingeschleuste JavaScript ist bewusst schlank gehalten; es fungiert als zweistufiger Lader, der die eigentliche Angriffslogik von einem externen Server nachlädt . Zu den beobachteten Nutzlasten gehören:
Da die Angriffskette sowohl Lesezugriffe auf die Datenbank als auch authentifizierte Inhaltsmanipulation umfasst, muss die Behebung sowohl die Schwachstelle selbst als auch die Folgeschäden einer möglichen Kompromittierung adressieren.
slug-Filterparametern sowie auf Massenbearbeitungen von Beiträgen Patches erscheinen schnell, doch die flächendeckende Umsetzung ist stets die eigentliche Hürde. Diese Kampagne ist eine ernüchternde Erinnerung daran, dass schwerwiegende CMS-Sicherheitslücken nach der Offenlegung nicht einfach verschwinden. Sie werden zu Waffen – und Angreifer werden aktiv diejenigen Organisationen ins Visier nehmen, die die Nachricht nicht erreicht hat.