Celah SQL injection kritis di Ghost CMS (CVE 2026 26980, skor CVSS 9.4) dieksploitasi secara aktif untuk mengkompromikan lebih dari 700 situs web—termasuk portal Harvard, Oxford, dan DuckDuckGo—dengan mencuri kunci Ad... Rantai serangan dimulai dengan pembacaan basis data tanpa autentikasi melalui Content API Ghost,...

Create a landscape editorial hero image for this Studio Global article: What is the CVE-2026-26980 vulnerability in Ghost CMS, how are attackers actively exploiting it to compromise over 700 websites, what payloa. Article summary: ## What is CVE-2026-26980. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware. #### Two threat groups exploit an unpatched CVSS 9.4 flaw to serve ClickFix malware on" source context "Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware" Reference image 2: visual subject "# Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware. #### Two threat groups exploit an unpatched CVSS 9.4 flaw to serve ClickFix malwa
Sebuah kerentanan yang telah ditambal berbulan-bulan lalu kini menjadi mesin bagi salah satu kampanye pembajakan situs web paling agresif tahun ini. Penyerang mengeksploitasi celah SQL injection kritis di Ghost CMS untuk mencuri kunci administratif, menyuntikkan skrip jahat, dan mengubah domain dengan reputasi tinggi—mulai dari portal Ivy League hingga mesin pencari yang berfokus pada privasi—menjadi platform pengirim malware.
CVE-2026-26980 adalah celah SQL injection dengan skor 9.4 pada skala CVSS yang memengaruhi Content API di Ghost CMS . Kelemahan ini terletak pada cara API menangani parameter query
filter dan order—tepatnya, kurangnya sanitasi yang tepat pada klausa ORDER BY. Penyerang yang tidak terautentikasi dapat menyuntikkan SQL arbitrer ke dalam parameter seperti
filter=slug:[...] atau order=slug:[...] untuk melakukan pembacaan buta (blind read) secara diam-diam pada tabel apa pun di basis data .
Data yang terekspos dapat mencakup hash kata sandi bcrypt, rahasia sesi, dan—yang paling kritis—kunci Admin API . Kunci-kunci tersebut membuka pintu yang jauh lebih besar: Ghost Admin API, yang memiliki wewenang penuh untuk membuat dan memodifikasi posting, halaman, dan konten situs.
Tambalan dirilis diam-diam di Ghost 6.19.1, tetapi banyak operator tidak pernah menerapkannya, sehingga pintu tetap terbuka lebar untuk eksploitasi .
Ditemukan pada Mei 2026 oleh peneliti intelijen ancaman dari tim XLab Qianxin, kampanye ini telah meracuni lebih dari 700 domain, termasuk situs-situs dengan reputasi tinggi . Para korban yang terkonfirmasi termasuk portal milik Universitas Harvard, Universitas Oxford, Universitas Auburn, dan mesin pencari yang berfokus pada privasi, DuckDuckGo
.
Setidaknya dua kelompok ancaman yang bersaing tengah berlomba untuk mengkompromikan situs-situs rentan yang sama. Dalam beberapa kasus, peneliti mengamati satu instance Ghost disuntik dengan kode jahat satu kelompok, hanya untuk diinfeksi ulang oleh kelompok saingan beberapa jam kemudian .
JavaScript yang disuntikkan sengaja dibuat kecil; ia bertindak sebagai pemuat dua tahap yang mengambil logika serangan sebenarnya dari server eksternal . Payload lanjutan yang teramati meliputi:
Karena rantai serangan ini melibatkan pembacaan basis data dan perusakan konten yang terautentikasi, remediasi harus menangani kerentanan itu sendiri dan kerusakan akibat dari kemungkinan kompromi.
slug yang tidak biasa, serta aktivitas pembaruan massal pada posting Tambalan dikirim dengan cepat, tetapi adopsi selalu menjadi hambatan sebenarnya. Kampanye ini adalah pengingat yang serius bahwa kerentanan CMS dengan tingkat keparahan tinggi tidak hilang setelah pengungkapan—mereka menjadi amunisi, dan penyerang akan secara aktif menargetkan organisasi yang tidak mendapat memo tersebut.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Celah SQL injection kritis di Ghost CMS (CVE 2026 26980, skor CVSS 9.4) dieksploitasi secara aktif untuk mengkompromikan lebih dari 700 situs web—termasuk portal Harvard, Oxford, dan DuckDuckGo—dengan mencuri kunci Ad...
Celah SQL injection kritis di Ghost CMS (CVE 2026 26980, skor CVSS 9.4) dieksploitasi secara aktif untuk mengkompromikan lebih dari 700 situs web—termasuk portal Harvard, Oxford, dan DuckDuckGo—dengan mencuri kunci Ad... Rantai serangan dimulai dengan pembacaan basis data tanpa autentikasi melalui Content API Ghost, diikuti perusakan artikel massal untuk menyuntikkan halaman verifikasi Cloudflare palsu yang mengelabui pengguna agar me...
Remediasi segera memerlukan peningkatan ke Ghost 6.19.1, rotasi semua kunci Admin API, dan audit konten yang telah dipublikasikan untuk menemukan skrip yang disuntikkan.