一場大規模的攻擊活動正在利用 Ghost CMS 中的一個嚴重 SQL 注入漏洞 (CVE-2026-26980) 來注入惡意 JavaScript 程式碼，從而觸發 ClickFix 攻擊流程。

這項攻擊活動是由中國網路安全公司千信旗下的 XLab 威脅情報研究人員發現的，他們確認該活動影響了 700 多個域名，包括大學入口網站、人工智慧/SaaS 公司、媒體機構、金融科技公司、安全網站和個人部落格。

CVE-2026-26980影響 Ghost 3.24.0 至 6.19.0 版本，允許未經身份驗證的攻擊者從網站資料庫中讀取任意數據，包括管理員 API 金鑰。儘管 Ghost CMS 6.19.1 版本已於 2 月 19 日發布了該問題的修復程序，但許多網站未能安裝安全性更新。

SentinelOne 於 2 月 27 日發布了關於CVE-2026-26980 漏洞利用攻擊的詳細信息，以及如何檢測此類事件。研究人員觀察到至少兩個不同的攻擊活動集群，它們以存在漏洞的 Ghost 網站為目標。這些叢集有時會在清理​​後使用不同的腳本重新感染相同的域名，或者其中一個叢集會清除另一個叢集的腳本，然後注入自己的腳本。

對於 Ghost CMS 網站管理員來說，最重要的措施是升級到 6.19.1 或更高版本，並輪換以前使用的所有金鑰，因為它們可能已經洩露。XLab 提供了一系列入侵指標 (IoC)，包括注入的腳本，因此需要對網站進行徹底審查，以查找並刪除它們。研究人員建議網站所有者保留 30 天的管理員 API 呼叫日誌記錄，以便進行可靠的回顧性調查。

資料來源：https://www.bleepingcomputer.com/news/security/ghost-cms-sql-injection-flaw-exploited-in-large-scale-clickfix-campaign/