首页 / 科技 / Ghost CMS SQL注入漏洞在大规模ClickFix活…

Ghost CMS SQL注入漏洞在大规模ClickFix活动中被利用 CVE-2026-26980 CVSS 9.4

编辑部 2026-06-08T09:02:19.335072 42499 阅读 tech
BleepingComputer Ghost CMS SQL injection flaw exploited in large-scale ClickFix campaign A large-scale campaign is exploiting a critical SQL injection...
Ghost CMS SQL注入漏洞在大规模ClickFix活动中被利用 CVE-2026-26980 CVSS 9.4
Ghost CMS SQL注入漏洞在大规模ClickFix活动中被利用 CVE-2026-26980 CVSS 9.4
BleepingComputer

Ghost CMS SQL injection flaw exploited in large-scale ClickFix campaign

A large-scale campaign is exploiting a critical SQL injection vulnerability (CVE-2026-26980) in Ghost CMS to inject malicious JavaScript code that triggers ClickFix attack flows.

[!quote]+

一个大规模的攻击活动正在利用 Ghost CMS 中的关键 SQL 注入漏洞 (CVE-2026-26980) 注入恶意 JavaScript 代码,从而触发 ClickFix 攻击流。

推荐阅读

[分享发现] 作为程序员的你,和作为普通群体你是如何吐槽微信的

推荐阅读

[推广] 🎁 Glidea 的批发小店 - 来抽奖 - 周一 Claude 0.18 倍率! CCMax 1.6

据研究人员称,威胁行为者在哈佛大学、牛津大学、奥本大学和 DuckDuckGo 的网站上植入了恶意代码。

CVE-2026-26980 影响 Ghost 3.24.0 至 6.19.0,允许未经认证的攻击者从网站数据库读取任意数据,包括管理员 API 密钥。

此密钥可提供用户、文章和主题的管理权限,并可用于修改文章页面。

尽管 Ghost CMS 6.19.1 版已于 2 月 19 日发布了该问题的修复程序,但许多网站都没有安装安全更新。

SentinelOne 于 2 月 27 日发布了有关 CVE-2026-26980 被利用进行攻击以及如何检测事件的详细信息。研究人员观察到至少有两个不同的活动集群针对易受攻击的 Ghost 网站,有时在清理后用不同的脚本重新感染相同的域,或者其中一个清理另一个的脚本以注入自己的脚本。

image

The Hacker News

Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks

Ghost CMS flaw CVE-2026-26980 enabled attacks on 700+ sites, injecting ClickFix malware through fake CAPTCHA pages.

GitHub

SQL injection in Content API

### Impact A SQL injection vulnerability existed in Ghost's Content API that allowed unauthenticated attackers to read arbitrary data from the database. ### Vulnerable Versions This vulne...

SecurityWeek – 25 May 26

Ghost CMS Vulnerability Exploited to Hack Over 700 Websites

CVE-2026-26980, a vulnerability patched a few months ago in the Ghost CMS, has been exploited to hack hundreds of websites

Est. reading time: 2 minutes

2 个帖子 - 2 位参与者

阅读完整话题

来源: LinuxDo 最新话题查看原文
Ghost CMS SQL 注入 漏洞 一个 AI 帖子

相关推荐

[分享发现] 作为程序员的你,和作为普通群体你是如何吐槽微信的

OP 不是程序员。 一大早看见有吐槽微信的,我也忍不住了。来几条: 傻逼 PC 端非要强迫手机扫码登录,貌似方便,但为什...

[推广] 🎁 Glidea 的批发小店 - 来抽奖 - 周一 Claude 0.18 倍率! CCMax 1.6

👉 https://token.glidea.app 👉 https://token.glidea.app 前 8 名回...

佬友们,马上准备飞升。助我一臂之力!

三级了给大伙们分享点日常工作提效的好工具 1 个帖子 - 1 位参与者 阅读完整话题...

微软第一方游戏《光环:战役进化》7 月 28 日发售,Steam 国区 298 元起

IT之家 6 月 8 日消息,微软在今天的 Xbox 发布会上宣布旗下《光环:战役进化(Halo:Campaign Ev...

写了个小玩具

心声大舞台 有墨你就来 比如一人留一句英雄联盟经典台词 传送门 1 个帖子 - 1 位参与者 阅读完整话题...

[问与答] mac 锁屏后,手机上的微信通知怎么恢复?

手机和 MAC 同时登录了微信,且手机微信设置了电脑在线时,关闭手机通知。 下班之后 MAC 直接锁屏就回家了,因为电脑...

钉钉

延展页面 · nil.xz-dingding.com.cn

About K1sports Com 首页热点

延展页面 · about-k1sports.com.cn

Adspowet 首页热点

延展页面 · adspowet.com

App Dingtalk Cn 首页热点

延展页面 · www.app-dingtalk.cn.com

最新热点文章详情

延展页面 · www.dianyoupg.com

Access Fifa Com 首页热点

延展页面 · access-2026-fifa.com.cn

Ibtj · Cheap

延展页面 · www.aizhushou.shop

钉钉

延展页面 · cn.xz-dingding.com.cn

Main K1sports Com 首页热点

延展页面 · main-k1sports.com.cn

En 专题内容

延展页面 · adspowet.com

Download 专题内容

延展页面 · www.app-dingtalk.cn.com

最新热点文章详情

延展页面 · www.yazhupg.com

Resource 专题内容

延展页面 · www.tcti.cn

Access Fifa Com 相关页面

延展页面 · access-2026-fifa.com.cn

钉钉下载

延展页面 · lii.xz-dingding.com.cn

K1sports Com 首页热点

延展页面 · index-k1sports.com.cn

En · Download

延展页面 · adspowet.com

Sitemap 专题内容

延展页面 · www.app-dingtalk.cn.com

最新热点文章详情

延展页面 · www.yulepg.com

Strategy Success Profit 视频 Loyalty Learning Analysis Business...

延展页面 · www.tcti.cn

KA · Security Segment Budget Training Analytics Network

延展页面 · www.aizhushou.shop

Access Fifa Com 相关页面

延展页面 · access-2026-fifa.com.cn

钉钉下载

延展页面 · web.xz-dingding.com.cn

K1sports Com 首页热点

延展页面 · home-k1sports.com.cn

Data Blog Price Audience 专题内容

延展页面 · www.tcti.cn

P1 R4 · Fashion

延展页面 · www.aizhushou.shop

Download 专题内容

延展页面 · adspowet.com

Download 专题内容

延展页面 · www.app-dingtlk.com.cn

最新热点文章详情

延展页面 · www.pgdiany.com

Access Fifa Com 相关页面

延展页面 · access-2026-fifa.com.cn