Auf den Punkt: Über 700 Websites wurden durch eine kritische Ghost CMS-Sicherheitslücke kompromittiert. Angreifer injizieren bösartige JavaScript-Codes für ClickFix-Attacks. Die Schwachstelle CVE-2023-26980 ermöglicht unbefugten Zugriff auf Admin-API-Schlüssel. Ein Patch existiert seit Februar 2026.
Cyberkriminelle nutzen eine kritische Sicherheitslücke in Ghost CMS aus, um über 700 Websites zu kapern und für betrügerische ClickFix-Attacken zu missbrauchen. Die Schwachstelle CVE-2023-26980 ermöglicht es Angreifern, ohne Authentifizierung auf Admin-API-Schlüssel zuzugreifen und Inhalte zu manipulieren.
Sicherheitsforscher von QiAnXin XLab haben eine großangelegte Kampagne dokumentiert, bei der Angreifer die kritische Sicherheitslücke CVE-2023-26980 in Ghost CMS ausnutzen. Die SQL-Injection-Schwachstelle mit einem CVSS-Score von 9.4 wurde bereits im Februar 2026 mit Version 6.19.1 behoben, doch der Schaden ist erheblich.
Die Attacke funktioniert in mehreren Schritten: Angreifer nutzen die Sicherheitslücke in der Content API, um ohne Authentifizierung auf die Admin-API-Schlüssel zuzugreifen. Mit diesen Schlüsseln können sie die Ghost Admin API missbrauchen, um massenweise Artikel zu manipulieren und bösartige JavaScript-Code einzuschleusen.
Der injizierte Code am Ende von Artikeln funktioniert als zweistufiger Loader, der zur Laufzeit weitere Malware von externen Servern (etwa „clo4shara[.]xyz/11z77u3.php“) nachlädt. Dieses flexible System ermöglicht es Kriminellen, Payloads je nach Ziel auszutauschen, während die Loader-Komponente unverändert bleibt.
Mindestens zwei unterschiedliche Angreifer-Gruppen sind für die Kampagne verantwortlich, teilweise kapern sie Websites noch am selben Tag. Die Entdeckung erfolgte am 7. Mai 2023. Die Ziele verteilen sich über verschiedene Branchen: Universitäten, Blockchain-Projekte, Künstliche Intelligenz, SaaS-Plattformen, Security-Research-Einrichtungen, Medien und FinTech-Unternehmen.
Diese Compromise von legitimen Websites erhöhen die Effektivität von ClickFix-Angriffen deutlich, da Nutzer den betrügerischen Code auf anscheinbar vertrauenswürdigen Seiten antreffen.