Ghost CMS 發現關鍵 SQL 注入漏洞(CVE 2026 26980,CVSS 9.4 分),正被黑客大規模利用,已騎劫超過 700 個網站,包括哈佛、牛津、鴨鴨走(DuckDuckGo)等門戶,透過偷取管理員 API 金鑰注入惡意代碼。 攻擊鏈由無需認證嘅數據庫讀取開始,利用 Ghost 嘅 Content API 漏洞,再批量篡改文章,注入偽冒 Cloudflare 人機驗證頁面,誘使用戶執行惡意指令,最終植入 DLL 載入器或 Electron 惡意軟件。

Create a landscape editorial hero image for this Studio Global article: What is the CVE-2026-26980 vulnerability in Ghost CMS, how are attackers actively exploiting it to compromise over 700 websites, what payloa. Article summary: ## What is CVE-2026-26980. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware. #### Two threat groups exploit an unpatched CVSS 9.4 flaw to serve ClickFix malware on" source context "Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware" Reference image 2: visual subject "# Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware. #### Two threat groups exploit an unpatched CVSS 9.4 flaw to serve ClickFix malwa
幾個月前修補嘅漏洞,而家成為今年最狼死嘅網站騎劫行動嘅引擎。攻擊者利用 Ghost CMS 入面一個關鍵嘅 SQL 注入漏洞,偷取管理員金鑰、注入惡意腳本,將一啲高信任度嘅域名——由常春藤聯盟嘅大學網站到重視私隱嘅搜尋引擎——變成惡意軟件嘅派送平台。
CVE-2026-26980 係一個 SQL 注入漏洞,喺 CVSS 評分系統攞到 9.4 分,影響 Ghost CMS 嘅 Content API 。問題出喺 API 處理
filter 同 order 呢兩個查詢參數嘅方式——講得具體啲,就係 ORDER BY。一個無需登入嘅攻擊者,可以透過好似
filter=slug:[...] 或者 order=slug:[...] 咁嘅參數注入任意 SQL 指令,靜靜雞讀取數據庫入面任何一個表嘅資料 。
可能會外洩嘅資料包括 bcrypt 密碼雜湊、會話秘密,以及最關鍵嘅——管理員 API 金鑰(Admin API Key) 。呢啲金鑰會打開一道更大嘅門:Ghost 嘅 Admin API,呢個 API 有齊晒創建同修改文章、頁面同網站內容嘅權限。
Ghost 喺 6.19.1 版本已經靜靜雞出咗修補程式,但好多營運者根本冇更新,結果就畀黑客有機可乘 。
呢次攻擊行動由奇安信(Qianxin)旗下 XLab 團隊嘅威脅情報研究員喺 2026 年 5 月發現,已經成功毒害超過 700 個域名,當中包括一啲好有信譽嘅網站 。已經確認嘅受害者包括哈佛大學、牛津大學、奧本大學擁有嘅網站,仲有以私隱為先嘅搜尋引擎鴨鴨走(DuckDuckGo)
。
至少有兩個相互競爭嘅黑客組織,鬥快去攻擊同一批有漏洞嘅網站。研究人員觀察到,有啲 Ghost 伺服器先被一個組織注入惡意代碼,幾個鐘之後又畀另一個競爭對手再感染多次 。
注入嘅 JavaScript 代碼故意寫得好短,佢係一個兩階段載入器,會再由外部伺服器提取真正嘅攻擊邏輯 。觀察到嘅下游惡意負載包括:
因為攻擊鏈同時涉及數據庫讀取同已認證嘅內容篡改,補救措施必須同時處理漏洞本身,同埋一旦被入侵之後可能留低嘅手尾。
slug 過濾參數嘅請求,同埋針對文章嘅批量更新活動 修補程式出得快,但更新永遠慢幾拍。今次攻擊行動係一個當頭棒喝:高嚴重性嘅 CMS 漏洞喺公開披露之後唔會自動消失——佢哋會變成彈藥,而攻擊者會主動針對嗰啲收唔到風嘅組織。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Ghost CMS 發現關鍵 SQL 注入漏洞(CVE 2026 26980,CVSS 9.4 分),正被黑客大規模利用,已騎劫超過 700 個網站,包括哈佛、牛津、鴨鴨走(DuckDuckGo)等門戶,透過偷取管理員 API 金鑰注入惡意代碼。
Ghost CMS 發現關鍵 SQL 注入漏洞(CVE 2026 26980,CVSS 9.4 分),正被黑客大規模利用,已騎劫超過 700 個網站,包括哈佛、牛津、鴨鴨走(DuckDuckGo)等門戶,透過偷取管理員 API 金鑰注入惡意代碼。 攻擊鏈由無需認證嘅數據庫讀取開始,利用 Ghost 嘅 Content API 漏洞,再批量篡改文章,注入偽冒 Cloudflare 人機驗證頁面,誘使用戶執行惡意指令,最終植入 DLL 載入器或 Electron 惡意軟件。
補救措施必須立即將 Ghost 升級至 6.19.1 版本、輪換所有管理員 API 金鑰,並全面審查已發佈內容有無被注入惡意腳本。