Уязвимость SQL-инъекции в Ghost CMS эксплуатируется в масштабной кампании ClickFix

Масштабная кампания эксплуатирует критическую уязвимость SQL-инъекции CVE-2026-26980 в Ghost CMS для внедрения вредоносного JavaScript-кода, запускающего атаки по схеме ClickFix.

Масштаб атаки

Кампанию обнаружили исследователи угроз XLab из китайской компании Qianxin. По их данным, атака затронула более 700 доменов, в том числе университетские порталы, компании в сфере ИИ и SaaS, медиаизданий, финтех-компании, сайты по кибербезопасности и личные блоги.

Среди подтверждённых жертв — сайты Гарвардского университета, Оксфордского университета, Университета Обёрна и поисковика DuckDuckGo.

Что за уязвимость?

Уязвимость CVE-2026-26980 затрагивает Ghost CMS версий с 3.24.0 по 6.19.0 и позволяет неаутентифицированному атакующему читать произвольные данные из базы данных сайта — включая ключи Admin API.

Получив ключ Admin API, злоумышленник получает доступ к управлению пользователями, статьями и темами, а также возможность модифицировать страницы сайта.

Патч был выпущен 19 февраля в версии Ghost CMS 6.19.1, однако многие сайты так и не установили обновление безопасности.

Как работает атака?

Цепочка атаки состоит из нескольких этапов:

• Эксплуатация CVE-2026-26980 для кражи ключей Admin API
• Использование полученных прав для внедрения вредоносного JavaScript в статьи сайта
• Загрузка вторичного кода — скрипта-клоакера, который проверяет посетителей на соответствие профилю жертвы
• Отображение прошедшим проверку пользователям поддельного окна Cloudflare с ClickFix-приманкой через iframe
• Страница предлагает жертве «подтвердить, что она человек», вставив предложенную команду в командную строку Windows — после чего на устройство загружается вредоносная нагрузка

Среди выявленных вредоносных нагрузок — DLL-загрузчики, JavaScript-дропперы и образец вредоносного ПО на базе Electron под названием UtilifySetup.exe.

Исследователи также зафиксировали как минимум два отдельных кластера активности, нацеленных на уязвимые сайты Ghost — иногда повторно заражая одни и те же домены, или «перебивая» скрипт конкурирующей группировки своим собственным.

Как защититься?

Администраторам сайтов на Ghost CMS необходимо:

• Обновить Ghost CMS до версии 6.19.1 или выше
• Сменить все ранее используемые ключи — они могут быть скомпрометированы
• Провести тщательную проверку сайта на наличие внедрённых скриптов по списку IoC от XLab
• Вести 30-дневный журнал вызовов Admin API для возможного ретроспективного расследования

Вывод: атака наглядно демонстрирует, насколько критично своевременно устанавливать обновления безопасности. Промедление с патчингом даже на несколько недель открывает злоумышленникам возможность для масштабных атак на тысячи пользователей через доверенные ресурсы.