Через уязвимость Ghost CMS скомпрометированы более 700 сайтов

QiAnXin XLab сообщила о массовой кампании против не обновленных сайтов на Ghost CMS: через SQL-инъекцию CVE-2026-26980 атакующие получают Admin API Key и внедряют вредоносный JavaScript в статьи. Код используется для ClickFix/FakeCaptcha-атак, где посетителей пытаются заставить выполнить команду локально. Исправление доступно в Ghost 6.19.1; администраторам нужно обновиться, проверить контент и ротировать ключи.

Исследовательская группа QiAnXin XLab сообщила о массовой кампании против не обновленных инсталляций Ghost CMS, открытой CMS на Node.js для блогов и публикаций. В атаках используется CVE-2026-26980 — критическая SQL-инъекция в Content API с оценкой CVSS 9.4; уязвимость затрагивает Ghost 3.24.0–6.19.0 и исправлена в версии 6.19.1.

Уязвимость позволяет без аутентификации читать данные из базы, включая Admin API Key. Получив этот ключ, злоумышленники через Ghost Admin API массово меняют опубликованные статьи и добавляют в них JavaScript-загрузчики, которые ведут посетителей на FakeCaptcha/ClickFix-сценарии — поддельные проверки Cloudflare с предложением выполнить команду на локальной системе.

XLab обнаружила первые признаки заражения 7 мая, а к 17 мая подтвердила более 700 зараженных доменов. Среди пострадавших исследователи упоминают сайты Harvard University, Oxford University и Auburn University; почти половина скомпрометированных ресурсов — личные блоги и независимые сайты, но в списке также есть ресурсы разработчиков, SaaS/tech-блоги, AI-проекты и криптовалютные площадки.

Администраторам Ghost рекомендуется немедленно обновиться до Ghost 6.19.1 или новее, проверить статьи, настройки Code Injection и темы на внедренные <script>, изучить необычные PUT /ghost/api/admin/posts/:id/ запросы и ротировать Admin API Key, Content API Key, пароли администраторов и сессии.