Критична вразливість CVE-2026-26980 (CVSS 9.4) у платформі Ghost CMS активно експлуатується зловмисниками для масового впровадження шкідливого JavaScript-коду в публікації на скомпрометованих сайтах. За даними дослідників QiAnXin XLab, кампанія, виявлена 7 травня 2026 року, зачепила понад 700 веб-сайтів у секторах освіти, блокчейну, штучного інтелекту, SaaS, медіа та фінансових технологій. Кінцева мета — доставка шкідливого програмного забезпечення через атаки типу ClickFix з підробленими CAPTCHA-сторінками. Вразливість була усунута у версії 6.19.1 ще в лютому 2026 року — адміністраторам Ghost CMS необхідно негайно оновитися та провести аудит своїх інсталяцій.
Технічна суть вразливості
CVE-2026-26980 являє собою вразливість SQL injection у Content API платформи Ghost. Згідно з офіційним бюлетенем безпеки, вразливість дає змогу неавтентифікованому зловмиснику читати довільні дані з бази даних. Оцінка CVSS 9.4 відображає критичний рівень небезпеки.
Особливої тяжкості вразливості надає те, що через неї атакувальник може витягнути ключ Admin API сайту без будь-якої авторизації. Цей ключ надає повний доступ до адміністративного API Ghost, зокрема можливість програмної зміни опублікованих статей. Саме цей вектор використовується в поточній кампанії: зловмисники масово модифікують контент, вбудовуючи шкідливі JavaScript-завантажувачі в кінець сторінок.
Показово, що вразливість була виявлена компанією Anthropic із використанням ІІ-моделі Claude. Виправлення випущено у версії Ghost 6.19.1 у лютому 2026 року.
Механіка атаки: від ін’єкції до повного контролю
За даними звіту QiAnXin XLab, атака реалізується через багатоступеневий ланцюжок доставки:
Етап 1 — Компрометація CMS. Атакувальник експлуатує CVE-2026-26980 для витягнення ключа Admin API з бази даних. Потім через Admin API масово модифікує статті, додаючи в кінець кожної сторінки шкідливий JavaScript-завантажувач.
Етап 2 — Двоступеневий завантажувач. Вбудований JavaScript працює як завантажувач першого рівня, який звертається до зовнішнього сервера, щоб отримати основне корисне навантаження під час виконання. Така архітектура дає змогу зловмисникам гнучко змінювати доставлений контент, зберігаючи завантажувач незмінним на сотнях скомпрометованих сайтів.
Етап 3 — Маскування через Adspect. Як повідомляється, серверний PHP-скрипт використовує комерційний сервіс маскування Adspect. Скрипт збирає цифрові відбитки браузера відвідувача, передає їх на сервер керування та виконує дії на основі отриманих інструкцій — перенаправлення, спливаючі вікна, завантаження. Скрипт, імовірно, підтримує 19 різних команд для виконання довільного JavaScript і віддаленого керування браузером жертви. Сканери безпеки та пошукові роботи при цьому бачать лише нешкідливу сторінку.
Етап 4 — ClickFix-атака. Цільовим відвідувачам відображається підроблена CAPTCHA-сторінка всередині елемента iframe. Жертві пропонують «підтвердити, що вона людина», скопіювавши та вставивши закодовану в Base64 команду в діалогове вікно Windows Run. Ця команда запускає ланцюжок доставки: завантаження ZIP-архіву, розпакування та виконання пакетного Windows-скрипта, який через PowerShell завантажує DLL-файл з віддаленого сервера й запускає його через rundll32.exe. Паралельно відкривається відволікаюча веб-сторінка.
Еволюція корисного навантаження
Дослідники зафіксували, що в пізніших ітераціях кампанії DLL-файл було замінено на JavaScript-корисне навантаження. Незалежно від способу доставки, кінцева мета — встановлення виконуваного файла Windows:
- У варіанті з DLL — доставляється клієнт PuTTY з дійсним сертифікатом підпису коду
- У варіанті з JavaScript — встановлюється Inno Setup-інсталятор Electron-додатка
Як повідомляється, Electron-додаток являє собою модифіковану версію відкритого настільного клієнта Grape. Модифікація забезпечує закріплення в системі та опитування командного сервера кожні 30 секунд для отримання інструкцій, зокрема виконання JavaScript-коду або виконуваних файлів.
Індикатори компрометації
На основі даних дослідження виявлено такі індикатори:
- Домени:
clo4shara[.]xyz,web-telegram[.]ug
Масштаб і оцінка впливу
За оцінкою QiAnXin XLab, кампанія зачепила понад 700 веб-сайтів. Серед скомпрометованих ресурсів — сайти університетів, компаній у сферах блокчейну, ШІ, SaaS, інформаційної безпеки, медіа та фінансових технологій. Використання легітимних, довірених сайтів як майданчиків для атаки суттєво підвищує імовірність успіху ClickFix-атак: відвідувачі таких ресурсів не очікують зіткнутися зі шкідливим контентом.
У деяких випадках, за даними дослідників, шкідливий код вбудовувався на сайти протягом одного дня, що свідчить про високий рівень автоматизації атаки.
Рекомендації щодо реагування
Адміністраторам Ghost CMS слід негайно виконати такі дії:
- Оновити Ghost до версії 6.19.1 або вище — вразливість усунено саме в цьому релізі
- Провести ротацію всіх облікових даних, включно з ключами Admin API та Content API, паролями бази даних і обліковими записами адміністраторів
- Провести аудит контенту — перевірити всі опубліковані статті на наявність сторонніх JavaScript-вставок, особливо в кінці сторінок
- Перевірити журнали доступу на предмет підозрілих запитів до Content API та Admin API, особливо масових операцій редагування
- Заблокувати виявлені індикатори компрометації на рівні мережевого обладнання та WAF
- Повідомити користувачів, які могли відвідувати сайт у період компрометації, про потенційний ризик
Враховуючи, що експлуатація не потребує автентифікації та дає змогу повністю контролювати публікований контент через Admin API, пріоритет оновлення — максимальний. Кожен неоновлений екземпляр Ghost CMS з доступним із інтернету Content API є потенційною ціллю. Якщо оновлення неможливе негайно, слід щонайменше обмежити зовнішній доступ до API через мережеві правила та перевірити поточний вміст сайту на наявність несанкціонованих змін.
