CVE-2026-26980 in Ghost CMS: SQL injection ermöglicht Massenkompromittierung

Foto des Autors

CyberSecureFox Editorial Team

Die kritische Schwachstelle CVE-2026-26980 (CVSS 9.4) in der Plattform Ghost CMS wird aktiv von Angreifern ausgenutzt, um massenhaft bösartigen JavaScript-Code in Beiträge auf kompromittierten Websites einzuschleusen. Nach Angaben der Forscher von QiAnXin XLab hat die am 7. Mai 2026 entdeckte Kampagne mehr als 700 Websites aus den Bereichen Bildung, Blockchain, Künstliche Intelligenz, SaaS, Medien und Finanztechnologie betroffen. Das Endziel ist die Auslieferung von Schadsoftware über ClickFix-Angriffe mit gefälschten CAPTCHA-Seiten. Die Schwachstelle wurde bereits im Februar 2026 in Version 6.19.1 behoben – Administratoren von Ghost CMS müssen umgehend aktualisieren und ein Audit ihrer Installationen durchführen.

Technische Details der Schwachstelle

CVE-2026-26980 stellt eine SQL injection-Schwachstelle in der Content API der Ghost-Plattform dar. Laut dem offiziellen Security Advisory ermöglicht die Schwachstelle einem nicht authentifizierten Angreifer, beliebige Daten aus der Datenbank auszulesen. Die CVSS-Bewertung von 9.4 spiegelt den kritischen Gefährdungsgrad wider.

Besonders gravierend ist, dass ein Angreifer darüber den Admin API-Schlüssel einer Website ohne jegliche Autorisierung auslesen kann. Dieser Schlüssel gewährt vollständigen Zugriff auf die Admin API von Ghost, einschließlich der Möglichkeit, veröffentlichte Artikel programmatisch zu verändern. Genau dieser Vektor wird in der aktuellen Kampagne genutzt: Angreifer modifizieren Inhalte massenhaft und fügen am Ende der Seiten bösartige JavaScript-Loader ein.

Bemerkenswert ist, dass die Schwachstelle von der Firma Anthropic mithilfe des KI-Modells Claude entdeckt wurde. Der Fix wurde im Februar 2026 mit Ghost Version 6.19.1 veröffentlicht.

Ablauf des Angriffs: von der Injection bis zur vollständigen Kontrolle

Nach Angaben des Berichts von QiAnXin XLab wird der Angriff über eine mehrstufige Delivery-Kette umgesetzt:

Phase 1 — Kompromittierung der CMS. Der Angreifer nutzt CVE-2026-26980 aus, um den Admin API-Schlüssel aus der Datenbank zu extrahieren. Anschließend werden über die Admin API die Beiträge massenhaft verändert, indem am Ende jeder Seite ein bösartiger JavaScript-Loader eingefügt wird.

Phase 2 — Zweistufiger Loader. Das eingeschleuste JavaScript fungiert als Loader der ersten Stufe, der zur Laufzeit einen externen Server kontaktiert, um die eigentliche Payload nachzuladen. Eine solche Architektur ermöglicht es den Angreifern, den ausgelieferten Inhalt flexibel zu ändern, während der Loader auf Hunderten kompromittierten Websites unverändert bleibt.

Phase 3 — Verschleierung über Adspect. Berichten zufolge nutzt ein serverseitiges PHP-Script den kommerziellen Maskierungsdienst Adspect. Das Script sammelt Browser-Fingerprints der Besucher, übermittelt sie an einen Steuerserver und führt auf Basis der empfangenen Anweisungen Aktionen wie Weiterleitungen, Pop-ups oder Downloads aus. Das Script unterstützt mutmaßlich 19 verschiedene Befehle, um beliebiges JavaScript auszuführen und den Browser des Opfers aus der Ferne zu steuern. Sicherheits-Scanner und Suchmaschinen-Crawler sehen dabei lediglich eine harmlose Seite.

Phase 4 — ClickFix-Attacke. Zielpersonen wird innerhalb eines iframe-Elements eine gefälschte CAPTCHA-Seite angezeigt. Das Opfer wird aufgefordert, „zu bestätigen, dass es ein Mensch ist“, indem es einen in Base64 kodierten Befehl in den Windows-Dialog „Ausführen“ kopiert und einfügt. Dieser Befehl startet eine Delivery-Kette: Es wird ein ZIP-Archiv heruntergeladen, entpackt und ein Windows-Batch-Script ausgeführt, das über PowerShell eine DLL-Datei von einem entfernten Server lädt und sie über rundll32.exe startet. Parallel dazu wird eine ablenkende Webseite geöffnet.

Evolution der Payload

Die Forscher stellten fest, dass in späteren Iterationen der Kampagne die DLL-Datei durch eine JavaScript-Payload ersetzt wurde. Unabhängig von der Art der Auslieferung ist das Endziel die Installation einer Windows-Executable:

  • In der DLL-Variante wird ein PuTTY-Client mit gültigem Code-Signing-Zertifikat ausgeliefert
  • In der JavaScript-Variante wird ein Inno Setup-Installer einer Electron-Anwendung installiert

Die Electron-Anwendung ist den Berichten zufolge eine modifizierte Version des offenen Desktop-Clients Grape. Die Modifikation sorgt für Persistenz im System und die Abfrage eines Command-Servers alle 30 Sekunden, um Anweisungen zu erhalten, darunter die Ausführung von JavaScript-Code oder Executables.

Indikatoren einer Kompromittierung

Auf Basis der Forschungsdaten wurden folgende Indikatoren identifiziert:

  • Domains:clo4shara[.]xyz, web-telegram[.]ug

Umfang und Abschätzung der Auswirkungen

Nach Einschätzung von QiAnXin XLab hat die Kampagne mehr als 700 Websites betroffen. Unter den kompromittierten Ressourcen befinden sich Websites von Universitäten sowie Unternehmen aus den Bereichen Blockchain, KI, SaaS, Informationssicherheit, Medien und Finanztechnologie. Der Einsatz legitimer, vertrauenswürdiger Websites als Angriffsplattform erhöht die Erfolgswahrscheinlichkeit von ClickFix-Angriffen erheblich: Besucher solcher Ressourcen rechnen nicht mit bösartigem Content.

Es ist anzumerken, dass die Einschätzung des Kampagnenumfangs auf den Daten einer einzigen Forschungsquelle beruht und bislang weder vom Anbieter Ghost noch von staatlichen Cybersicherheitsbehörden unabhängig bestätigt wurde. Dennoch machen die Kritikalität der Schwachstelle selbst (CVSS 9.4) und die einfache Ausnutzbarkeit – ohne Authentifizierung, über die öffentliche Content API – eine massenhafte Ausnutzung zu einem durchaus realistischen Szenario.

In einigen Fällen, so die Forscher, wurde der bösartige Code innerhalb eines einzigen Tages auf Websites eingeschleust, was auf einen hohen Automatisierungsgrad des Angriffs hinweist.

Empfehlungen zur Reaktion

Administratoren von Ghost CMS sollten umgehend die folgenden Maßnahmen ergreifen:

  1. Ghost auf Version 6.19.1 oder höher aktualisieren – die Schwachstelle wurde genau in diesem Release behoben
  2. Alle Zugangsdaten rotieren, einschließlich Admin API- und Content API-Schlüssel, Datenbankpasswörter und Administrator-Accounts
  3. Content-Audit durchführen – alle veröffentlichten Artikel auf fremde JavaScript-Einbettungen prüfen, insbesondere am Ende der Seiten
  4. Access-Logs prüfen auf verdächtige Anfragen an Content API und Admin API, insbesondere auf Massenbearbeitungen
  5. Identifizierte Indikatoren einer Kompromittierung auf Ebene der Netzwerkinfrastruktur und des WAF blockieren
  6. Nutzer benachrichtigen, die die Website im Zeitraum der Kompromittierung besucht haben könnten, über das potenzielle Risiko

Da die Ausnutzung keine Authentifizierung erfordert und über die Admin API eine vollständige Kontrolle über veröffentlichte Inhalte ermöglicht, hat das Update höchste Priorität. Jede nicht aktualisierte Ghost-CMS-Instanz mit aus dem Internet erreichbarer Content API ist ein potenzielles Ziel. Wenn ein Update nicht sofort möglich ist, sollte zumindest der externe Zugriff auf die API per Netzwerkregeln eingeschränkt und der aktuelle Inhalt der Website auf nicht autorisierte Änderungen überprüft werden.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen