Ghost CMS 漏洞 CVE-2026-26980 被利用劫持 700 多个网站以发起 ClickFix 攻击
攻击者正利用 Ghost CMS 新披露的高危漏洞 CVE-2026-26980 发起攻击。该漏洞存在于 Content API,属于 SQL 注入问题,严重程度高,可被未认证攻击者利用以读取后端数据库中的任意数据。研究显示,这一入侵链已被用于注入恶意 JavaScript,进一步推动 ClickF
84
热度
80
质量
86
影响力
深度分析
背景与问题
这起事件的关键不只是漏洞本身,而是漏洞披露后迅速被武器化利用。Ghost CMS 作为内容管理系统,一旦其 Content API 存在可被未授权访问的 SQL 注入点,就意味着攻击者无需登录即可直接触达数据层。
文中明确指出两个核心风险:
- 漏洞等级极高,CVSS 评分 9.4
- 可未认证利用,攻击门槛相对更低
- 影响后端数据库数据安全,可读取任意数据
这说明问题已经超出普通配置失误范畴,而是涉及应用核心接口的安全失守。
核心内容
此次攻击链体现出两个阶段:
利用 Ghost CMS 漏洞入侵
- 攻击者针对 CVE-2026-26980 发起利用
- 漏洞位于 Ghost 的 Content API
- 通过 SQL 注入,攻击者可读取数据库中的任意数据
注入恶意 JavaScript 并服务于 ClickFix 攻击
- 攻击者并未停留在数据窃取层面
- 而是进一步在站点中植入 恶意 JavaScript
- 最终目的与 ClickFix 攻击 相关,说明受害站点被当作攻击分发或诱导执行的载体
这一点尤其值得注意:信息泄露型漏洞正在被转化为前端投毒入口。也就是说,后端 SQL 注入造成的影响已延伸到访问者侧,风险范围从单一系统扩展到网站用户。
意义与影响
事件反映出三个重要趋势:
高危 CMS 漏洞极易成为批量化攻击目标
Ghost 这类通用平台一旦出现可远程利用的缺陷,攻击者会迅速跟进。未认证漏洞的现实危害更大
不需要凭据意味着攻击面更广,也更适合自动化扫描与规模化利用。攻击目标从数据转向流量与用户操控
恶意 JavaScript 注入配合 ClickFix,表明攻击者重视的不只是拿数据,还包括借站点信任关系影响终端用户。
从已披露内容看,最核心的结论是:CVE-2026-26980 已经进入实战利用阶段,且利用方式具有明显的二次攻击扩展性。这使其危险性不仅体现在数据库泄露,更体现在网站被劫持为恶意活动基础设施。
免责声明:以上内容由 AI 生成,仅供参考。
安全 产品发布 对齐