Auf den Punkt: Cyberkriminelle nutzen die SQL-Injection-Lücke CVE-2026-26980 in Ghost CMS in über 700 Websites aus, um ClickFix-Angriffe durchzuführen. Auch Harvard, Oxford und DuckDuckGo waren betroffen. Ein Patch existiert seit Februar, wird aber vielfach nicht installiert.
Cyberkriminelle nutzen eine kritische SQL-Injection-Schwachstelle in Ghost CMS aktiv aus, um über 700 Websites mit bösartigem JavaScript zu infizieren. Die Sicherheitsforscher von Qianxin haben hochkarätige Ziele wie Harvard und Oxford sowie DuckDuckGo identifiziert.
Eine großflächige Angriffskampagne exploitiert derzeit die kritische SQL-Injection-Lücke CVE-2026-26980 in Ghost CMS, um bösartigen JavaScript-Code einzuschleusen, der ClickFix-Angriffsketten auslöst. Die XLab-Sicherheitsforscher der chinesischen Cybersecurity-Firma Qianxin entdeckten über 700 kompromittierte Domains, darunter Universitätsportale, AI- und SaaS-Anbieter, Nachrichtenplattformen, Fintech-Unternehmen, Sicherheitswebsites und persönliche Blogs. Die Angreifer konnten erfolgreich Schadcode auf den Seiten von Harvard University, Oxford University, Auburn University und DuckDuckGo platzieren.
Die Schwachstelle betrifft Ghost-Versionen 3.24.0 bis 5.0.303. Sie ermöglicht es unauthentifizierten Angreifern, beliebige Daten aus der Datenbank der Website auszulesen, einschließlich Admin-API-Keys. Diese Keys gewähren Verwaltungszugriff auf Benutzer, Artikel und Themes und können zur Manipulation von Artikelseiten missbraucht werden.
Ein Sicherheitsupdate wurde am 19. Februar in Ghost CMS Version 5.19 veröffentlicht, doch viele Websites installieren das Update nicht. Am 27. Februar publizierte SentinelOne technische Details zur Schwachstelle, einschließlich Exploitations-Methoden und Erkennungstechniken. Die Forscher identifizierten mindestens zwei separate Malware-Kampagnen, die wiederholt anfällige Ghost-Sites ansteuerten und sich gegenseitig mit neuen Skripten reinfizierte oder verdrängte.