Ghost CMSの脆弱性悪用、700超サイト改ざん

オープンソース CMS の Ghost に存在する重大な SQL インジェクション脆弱性 CVE-2026-26980 を悪用した、大規模な Web サイト改ざんキャンペーンが確認されました。中国 QiAnXin の脅威分析チーム XLab が報告したもので、Harvard 大学や DuckDuckGo を含む 700 を超えるドメインが被害を受けています。攻撃者は管理用の API キーを窃取し、記事に不正な JavaScript を仕込んで偽の認証画面 (ClickFix) へ誘導します。

主なポイント

• CVE-2026-26980 は Content API の SQL インジェクション (CVSS 9.4)。認証不要でデータベース内の情報を読み取れる
• 影響範囲は Ghost 3.24.0〜6.19.0。修正版 6.19.1 は 2 月 19 日に公開済みだが、未適用のサイトが標的になっている
• 攻撃者は窃取した Admin API キーで記事を一括改変し、偽の Cloudflare 認証 (ClickFix) を表示してマルウェアへ誘導
• Harvard・Oxford・Auburn 各大学や DuckDuckGo など 700 超のサイトで改ざんを確認
• 少なくとも 2 つの攻撃グループが関与。対策は 6.19.1 以降への速やかな更新

出典: Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks (The Hacker News)