Ghost CMS 的重大 SQL 注入漏洞 (CVE 2026 26980,CVSS 9.4) 正被積極利用,攻擊規模已超過 700 個網站——包含哈佛、牛津及 DuckDuckGo 的入口網站——透過竊取管理員 API 金鑰並注入惡意程式碼。 攻擊鏈始於通過 Ghost 的 Content API 進行未經身分驗證的資料庫讀取,隨後利用竊取的管理權限大量篡改文章,注入仿造的 Cloudflare 驗證頁面,誘騙使用者執行惡意命令。

Create a landscape editorial hero image for this Studio Global article: What is the CVE-2026-26980 vulnerability in Ghost CMS, how are attackers actively exploiting it to compromise over 700 websites, what payloa. Article summary: ## What is CVE-2026-26980. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware. #### Two threat groups exploit an unpatched CVSS 9.4 flaw to serve ClickFix malware on" source context "Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware" Reference image 2: visual subject "# Ghost CMS SQL Injection Hits 700 Sites: Harvard, DuckDuckGo Serve Fake Cloudflare Malware. #### Two threat groups exploit an unpatched CVSS 9.4 flaw to serve ClickFix malwa
一個數月前已修補的漏洞,如今成了今年最猛烈的網站劫持活動之一的核心推手。攻擊者正利用 Ghost CMS 中的一個嚴重 SQL 注入漏洞,竊取管理員金鑰、注入惡意腳本,並將高度信任的網域——從常春藤名校入口網站到以隱私為賣點的搜尋引擎——轉變為散播惡意軟體的投放平台。
CVE-2026-26980 是一個在通用漏洞評分系統(CVSS)中獲得 9.4 分的 SQL 注入漏洞,影響 Ghost CMS 的 Content API 。此弱點存在於 API 處理
filter 和 order 查詢參數的方式,特別是在處理 ORDER BY。未經身分驗證的攻擊者可以將任意 SQL 程式碼注入到像是
filter=slug:[...] 或 order=slug:[...] 的參數中,從而對資料庫中的任何資料表進行無聲息的、盲注式的讀取 。
外洩的資料可能包括密碼的 bcrypt 雜湊值、工作階段密鑰,以及——最關鍵的——管理員 API 金鑰 (Admin API keys) 。這些金鑰能打開一扇更大的門:擁有對新增、修改文章、頁面和網站內容完全權限的 Ghost Admin API。
修補程式早在今年二月就已低調隨 Ghost 6.19.1 版本發布,但許多網站營運者並未套用更新,使得這扇門至今仍為攻擊者敞開 。
此攻擊活動由中國資安公司奇安信旗下的 XLab 威脅情資團隊於 2026 年 5 月發現,已波及超過 700 個網域,其中不乏聲譽卓著的網站 。已證實的受害者包括哈佛大學、牛津大學、奧本大學旗下的入口網站,以及以隱私為重的搜尋引擎 DuckDuckGo
。
至少有兩個相互競爭的駭客組織正爭先恐後地入侵相同的脆弱網站。研究人員觀察到,部分 Ghost 實例在被某個組織植入惡意程式碼後,短短數小時內又遭到另一個競爭對手的再次感染 。
被注入的 JavaScript 程式碼刻意保持極小;它是一個兩階段載入器,會從外部伺服器取得真正的攻擊邏輯 。觀察到的下游酬載包括:
由於攻擊鏈同時涉及資料庫讀取和經身分驗證的內容竄改,補救措施必須同時解決漏洞本身和可能已發生的入侵損害。
slug 篩選參數的請求,以及對文章的大量更新活動 修補程式釋出的速度很快,但採納的速度總是真正的瓶頸。這波攻擊活動是一記清醒的警鐘:嚴重的 CMS 漏洞在公開揭露後並不會消失——它們會變成攻擊者的彈藥,而這些攻擊者也將主動瞄準那些沒收到訊息的組織。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Ghost CMS 的重大 SQL 注入漏洞 (CVE 2026 26980,CVSS 9.4) 正被積極利用,攻擊規模已超過 700 個網站——包含哈佛、牛津及 DuckDuckGo 的入口網站——透過竊取管理員 API 金鑰並注入惡意程式碼。
Ghost CMS 的重大 SQL 注入漏洞 (CVE 2026 26980,CVSS 9.4) 正被積極利用,攻擊規模已超過 700 個網站——包含哈佛、牛津及 DuckDuckGo 的入口網站——透過竊取管理員 API 金鑰並注入惡意程式碼。 攻擊鏈始於通過 Ghost 的 Content API 進行未經身分驗證的資料庫讀取,隨後利用竊取的管理權限大量篡改文章,注入仿造的 Cloudflare 驗證頁面,誘騙使用者執行惡意命令。
緊急處置措施需立即升級至 Ghost 6.19.1 版、輪換所有管理員 API 金鑰,並全面審查已發布內容中是否有被注入的惡意腳本。