जिस सुरक्षा खामी को महीनों पहले ठीक कर दिया गया था, वही अब इस साल के सबसे आक्रामक वेबसाइट हैकिंग अभियानों की वजह बनी हुई है। हैकर्स Ghost CMS की एक गंभीर SQL इंजेक्शन कमजोरी का फायदा उठाकर एडमिन चाबियां (keys) चुरा रहे हैं, नुकसानदेह स्क्रिप्ट डाल रहे हैं, और बड़े-बड़े भरोसेमंद डोमेन—जैसे आइवी लीग के पोर्टल और प्राइवेसी पर फोकस करने वाले सर्च इंजन—को मैलवेयर फैलाने का जरिया बना रहे हैं।
CVE-2026-26980 एक ऐसी SQL इंजेक्शन खामी है जिसे CVSS स्केल पर 9.4 की गंभीर रेटिंग मिली है। इसका असर Ghost CMS की कंटेंट API पर होता है । दरअसल, यह कमी उस तरीके में है जिस तरह से API
filter और order क्वेरी पैरामीटर्स को हैंडल करती है—खासकर ORDER BY। एक हैकर बिना किसी लॉगिन या पासवर्ड के
filter=slug:[...] या order=slug:[...] जैसे पैरामीटर्स में अपनी मनमानी SQL डालकर डेटाबेस की किसी भी टेबल को चुपचाप पढ़ सकता है ।
इस तरह चुराए जा सकने वाले डेटा में bcrypt पासवर्ड हैश, सेशन सीक्रेट्स, और सबसे अहम—एडमिन API कीज शामिल हैं । इन चाबियों के हाथ लगते ही एक बहुत बड़ा दरवाजा खुल जाता है: Ghost Admin API, जिसके जरिए पोस्ट, पेज और पूरी साइट के कंटेंट को बनाने और बदलने का पूरा अधिकार मिल जाता है।
इसका पैच चुपचाप Ghost के 6.19.1 वर्जन में आ गया था, लेकिन बहुत सारे यूजर्स ने इसे लागू नहीं किया, जिससे हमलावरों के लिए रास्ता पूरी तरह खुला रहा ।
मई 2026 में चीनी साइबर सिक्योरिटी कंपनी Qianxin की XLab टीम के रिसर्चर्स ने इस हमले की खोज की। इस अभियान ने पहले ही 700 से अधिक डोमेन को अपना शिकार बना लिया है, जिनमें बेहद प्रतिष्ठित वेबसाइटें भी शामिल हैं । इस हमले की चपेट में आने वालों में हार्वर्ड यूनिवर्सिटी, ऑक्सफोर्ड यूनिवर्सिटी, ऑबर्न यूनिवर्सिटी और प्राइवेसी-फोकस्ड सर्च इंजन डकडकगो (DuckDuckGo) के पोर्टल शामिल हैं
।
एक दिलचस्प बात यह है कि कम से कम दो प्रतिद्वंदी हैकिंग ग्रुप एक ही कमजोर साइटों पर कब्जा जमाने की होड़ में लगे हैं। रिसर्चर्स ने देखा कि कई बार एक ही Ghost इंस्टेंस में एक ग्रुप का मैलवेयर डाला गया, तो कुछ ही घंटों बाद दूसरे ग्रुप ने उसे अपने कोड से री-इन्फेक्ट कर दिया ।
जो जावास्क्रिप्ट डाला जाता है, वह जानबूझकर बहुत छोटा होता है; यह एक दो-चरणीय लोडर की तरह काम करता है जो हमले का असली लॉजिक किसी बाहरी सर्वर से लाता है । अब तक जो दूसरे चरण के पेलोड देखे गए हैं, उनमें शामिल हैं:
चूंकि इस हमले में डेटाबेस की रीडिंग और कंटेंट से छेड़छाड़, दोनों शामिल हैं, इसलिए बचाव के तरीके में खामी को दूर करना और पहले से हुए नुकसान की भरपाई, दोनों करना जरूरी है।
slug फिल्टर पैरामीटर हों, और साथ ही पोस्ट में भारी मात्रा में बदलाव की गतिविधि—देखें पैच तो तेजी से आ जाते हैं, लेकिन असली चुनौती होती है उन्हें अपनाना। यह हमला एक सबक है कि एक बार जब CMS की गंभीर कमजोरियां सार्वजनिक हो जाती हैं, तो वे कम नहीं होतीं—वे बारूद बन जाती हैं, और हमलावर उन संगठनों के पीछे पड़ जाते हैं जिन तक यह खबर नहीं पहुंची।
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Ghost CMS की एक सीरियस SQL इंजेक्शन खामी (CVE 2026 26980, CVSS 9.4) का फायदा उठाकर हैकर्स ने हार्वर्ड, ऑक्सफोर्ड और डकडकगो जैसे बड़े संस्थानों की 700 से अधिक वेबसाइटों को हाइजैक कर लिया है।
Ghost CMS की एक सीरियस SQL इंजेक्शन खामी (CVE 2026 26980, CVSS 9.4) का फायदा उठाकर हैकर्स ने हार्वर्ड, ऑक्सफोर्ड और डकडकगो जैसे बड़े संस्थानों की 700 से अधिक वेबसाइटों को हाइजैक कर लिया है। हमले की शुरुआत बिना किसी आईडी पासवर्ड के डेटाबेस से एडमिन API कीज चुराने से होती है, जिसके बाद नकली क्लाउडफ्लेयर वेरिफिकेशन पेज डालकर विजिटर्स को मैलवेयर इंस्टॉल करने के लिए बरगलाया जाता है।
बचने के लिए सबसे जरूरी कदम: अपने Ghost CMS को तुरंत 6.19.1 या उसके बाद वाले वर्जन में अपडेट करें, सभी एडमिन API कीज बदलें और अपने पुराने आर्टिकल्स में किसी अनचाहे कोड की जांच करें।