Lỗ hổng SQL Injection nghiêm trọng trong Ghost CMS (CVE 2026 26980, điểm CVSS 9.4) đang bị khai thác để tấn công hơn 700 trang web, bao gồm cổng thông tin của Harvard, Oxford và DuckDuckGo, bằng cách đánh cắp khóa API... Chuỗi tấn công bắt đầu bằng việc đọc trái phép cơ sở dữ liệu thông qua Content API của Ghost, sa...

Create a landscape editorial hero image for this Studio Global article: What is the CVE-2026-26980 vulnerability in Ghost CMS, how are attackers actively exploiting it to compromise over 700 websites, what payloa. Article summary: ## What is CVE-2026-26980. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware. #### Two threat groups exploit an unpatched CVSS 9.4 flaw to serve ClickFix malware on" source context "Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware" Reference image 2: visual subject "# Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware. #### Two threat groups exploit an unpatched CVSS 9.4 flaw to serve ClickFix malwa
Một lỗ hổng bảo mật đã được vá từ nhiều tháng trước bỗng trở thành động cơ cho một trong những chiến dịch chiếm quyền website táo bạo nhất trong năm. Tin tặc đang khai thác lỗ hổng SQL Injection nghiêm trọng trong Ghost CMS để đánh cắp khóa quản trị, tiêm mã độc và biến các tên miền uy tín—từ cổng thông tin các trường Ivy League đến công cụ tìm kiếm tập trung vào quyền riêng tư—thành nền tảng phát tán mã độc.
CVE-2026-26980 là một lỗ hổng SQL Injection được đánh giá 9.4 trên thang điểm CVSS, ảnh hưởng đến Content API trong Ghost CMS . Điểm yếu nằm ở cách API xử lý các tham số
filter và order—cụ thể là thiếu bước làm sạch dữ liệu đầu vào đúng cách trong mệnh đề ORDER BY. Một kẻ tấn công chưa được xác thực có thể tiêm mã SQL tùy ý vào các tham số như
filter=slug:[...] hoặc order=slug:[...] để thực hiện các truy vấn “mù” (blind reads) trên bất kỳ bảng nào trong cơ sở dữ liệu .
Dữ liệu bị lộ có thể bao gồm mật khẩu băm bcrypt, bí mật phiên và—quan trọng nhất—khóa Admin API . Những khóa này mở ra một cánh cửa lớn hơn nhiều: Ghost Admin API, vốn có toàn quyền tạo và chỉnh sửa bài viết, trang, và nội dung trang web.
Bản vá đã được phát hành một cách âm thầm trong Ghost 6.19.1, nhưng nhiều nhà vận hành đã không áp dụng, để ngỏ cánh cửa cho việc khai thác .
Được phát hiện vào tháng 5 năm 2026 bởi các nhà nghiên cứu tình báo mối đe dọa tại nhóm XLab của Qianxin, chiến dịch này đã đầu độc hơn 700 tên miền, bao gồm các trang web có uy tín cao . Các nạn nhân được xác nhận bao gồm các cổng thông tin thuộc sở hữu của Đại học Harvard, Đại học Oxford, Đại học Auburn và công cụ tìm kiếm tập trung vào quyền riêng tư DuckDuckGo
.
Ít nhất hai nhóm đe dọa đang cạnh tranh để xâm phạm các trang web dễ bị tấn công tương tự. Trong một số trường hợp, các nhà nghiên cứu quan sát thấy một phiên bản Ghost bị tiêm mã độc của nhóm này, chỉ vài giờ sau lại bị tái nhiễm bởi một đối thủ khác .
Mã JavaScript được tiêm vào có chủ đích nhỏ gọn; nó hoạt động như một loader hai giai đoạn tải logic tấn công thực sự từ một máy chủ bên ngoài . Các payload hạ nguồn đã được quan sát bao gồm:
Vì chuỗi tấn công liên quan đến cả việc đọc cơ sở dữ liệu và giả mạo nội dung đã xác thực, việc khắc phục phải giải quyết chính lỗ hổng và thiệt hại gián tiếp của một vụ xâm phạm tiềm tàng.
slug bất thường, cũng như hoạt động cập nhật hàng loạt trên các bài viết Bản vá được phát hành nhanh chóng, nhưng việc áp dụng luôn là nút thắt thực sự. Chiến dịch này là một lời nhắc nhở đáng lo ngại rằng các lỗ hổng CMS mức độ nghiêm trọng cao không biến mất sau khi tiết lộ—chúng trở thành vũ khí và kẻ tấn công sẽ chủ động nhắm mục tiêu vào các tổ chức chưa nắm bắt được thông tin.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Lỗ hổng SQL Injection nghiêm trọng trong Ghost CMS (CVE 2026 26980, điểm CVSS 9.4) đang bị khai thác để tấn công hơn 700 trang web, bao gồm cổng thông tin của Harvard, Oxford và DuckDuckGo, bằng cách đánh cắp khóa API...
Lỗ hổng SQL Injection nghiêm trọng trong Ghost CMS (CVE 2026 26980, điểm CVSS 9.4) đang bị khai thác để tấn công hơn 700 trang web, bao gồm cổng thông tin của Harvard, Oxford và DuckDuckGo, bằng cách đánh cắp khóa API... Chuỗi tấn công bắt đầu bằng việc đọc trái phép cơ sở dữ liệu thông qua Content API của Ghost, sau đó chỉnh sửa hàng loạt bài viết để chèn trang xác minh Cloudflare giả mạo, lừa người dùng thực thi lệnh độc hại.
Biện pháp khắc phục khẩn cấp yêu cầu nâng cấp lên Ghost 6.19.1, thu hồi tất cả khóa API quản trị và rà soát mã độc được chèn vào nội dung đã xuất bản.