內容管理系統Ghost的SQL注入漏洞被用於大規模ClickFix網釣攻擊活動

CVE-2026-26980為SQL注入漏洞，存在於Ghost Content API的slug過濾器，未經授權的攻擊者能任意讀取資料庫內容，CVSS風險評為9.4分（滿分10分），影響3.24.0至6.19.0版的Ghost，開發團隊於2月17日發布6.19.1版修補，兩天後公布CVE編號。值得留意的是，奇安信於5月7日首度偵測到攻擊活動，不過駭客於開發團隊發布新版之前就開始製作惡意酬載，顯然在該漏洞揭露前駭客已掌握相關資訊，並規畫如何利用。

奇安信發現至少兩組人馬對Ghost CMS網站進行投毒，有超過700個網域名稱被污染，其中包含全球許多知名網站，涵蓋大學、區塊鏈、AI、SaaS、資安研究、新聞媒體、金融科技等領域。值得留意的是，研究人員發現兩組駭客團體搶奪部分網站的現象，有的網站一天內被植入不同的惡意程式碼。