Критическая уязвимость в Ghost CMS (CVE 2026 26980, оценка CVSS 9.4) активно используется для компрометации более 700 веб сайтов, включая порталы Гарварда, Оксфорда и DuckDuckGo. Цепочка атаки начинается с неавторизованного чтения базы данных через Content API Ghost, после чего хакеры массово редактируют статьи, что...

Create a landscape editorial hero image for this Studio Global article: What is the CVE-2026-26980 vulnerability in Ghost CMS, how are attackers actively exploiting it to compromise over 700 websites, what payloa. Article summary: ## What is CVE-2026-26980. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware. #### Two threat groups exploit an unpatched CVSS 9.4 flaw to serve ClickFix malware on" source context "Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware" Reference image 2: visual subject "# Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware. #### Two threat groups exploit an unpatched CVSS 9.4 flaw to serve ClickFix malwa
Уязвимость, исправленная несколько месяцев назад, стала основой для одной из самых агрессивных кампаний по захвату сайтов в этом году. Злоумышленники используют критическую уязвимость в Ghost CMS, чтобы красть административные ключи, внедрять вредоносные скрипты и превращать доверенные домены — от сайтов Лиги плюща до конфиденциальных поисковиков — в инструмент распространения вредоносного ПО.
CVE-2026-26980 — это SQL-инъекция с оценкой 9,4 по шкале CVSS, которая затрагивает Content API в Ghost CMS . Слабое место кроется в том, как API обрабатывает параметры
filter и order — в частности, отсутствует надлежащая очистка в операторе ORDER BY. Любой удаленный злоумышленник может внедрить произвольный SQL-код в параметры вроде
filter=slug:[...] или order=slug:[...], чтобы незаметно читать любые таблицы базы данных .
Среди данных, к которым можно получить доступ, — хеши паролей bcrypt, сессионные секреты и, что самое опасное, ключи Admin API . Получив такой ключ, злоумышленник открывает гораздо более широкую дверь — Ghost Admin API, который обладает полными правами на создание и изменение постов, страниц и всего содержимого сайта.
Исправление было незаметно включено в версию Ghost 6.19.1, однако многие владельцы сайтов его так и не установили, оставив дверь открытой для эксплуатации .
Кампания была обнаружена в мае 2026 года исследователями XLab, подразделением китайской компании Qianxin. На данный момент зафиксировано заражение более 700 доменов, включая сайты с высокой репутацией . Среди подтвержденных жертв — порталы Гарвардского университета, Оксфордского университета, Обернского университета и поисковика DuckDuckGo с его фокусом на приватности
.
Забавно, что как минимум две конкурирующие хакерские группировки одновременно атакуют одни и те же уязвимые сайты. Исследователи наблюдали случаи, когда уже зараженный одним кодом экземпляр Ghost в течение нескольких часов повторно заражался конкурирующей группой .
Внедряемый JavaScript-код намеренно делают маленьким; он представляет собой двухэтапный загрузчик, который подгружает основную вредоносную логику с внешнего сервера . Среди замеченных типов вредоносной нагрузки:
Поскольку атака включает как чтение базы данных, так и авторизованное изменение контента, меры по защите должны быть направлены и на саму уязвимость, и на последствия возможной компрометации.
slug, а также на случаи массового обновления постов Патчи выпускаются быстро, но главная проблема всегда в их внедрении. Эта кампания — серьезное напоминание о том, что критические уязвимости в CMS не исчезают после публикации. Они превращаются в оружие, и злоумышленники активно ищут тех, кто не успел или не захотел обновиться.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Критическая уязвимость в Ghost CMS (CVE 2026 26980, оценка CVSS 9.4) активно используется для компрометации более 700 веб сайтов, включая порталы Гарварда, Оксфорда и DuckDuckGo.
Критическая уязвимость в Ghost CMS (CVE 2026 26980, оценка CVSS 9.4) активно используется для компрометации более 700 веб сайтов, включая порталы Гарварда, Оксфорда и DuckDuckGo. Цепочка атаки начинается с неавторизованного чтения базы данных через Content API Ghost, после чего хакеры массово редактируют статьи, чтобы показывать посетителям поддельную страницу проверки Cloudflare.
Для немедленного устранения угрозы необходимо обновить Ghost до версии 6.19.1, сменить все ключи Admin API и проверить опубликованный контент на наличие скрытых скриптов.