Критическая уязвимость в Ghost CMS стала инструментом для массовых атак ClickFix

Эксперты по кибербезопасности предупреждают о масштабной кампании по распространению вредоносного ПО, использующей серьезную брешь в популярной системе управления контентом Ghost CMS. Уязвимость позволяет злоумышленникам компрометировать сайты и атаковать их посетителей с помощью тактики ClickFix, маскируя заражение под системные уведомления об ошибках.

Технические подробности и масштаб угрозы

Проблема, зафиксированная под идентификатором CVE-2026-26980, представляет собой критическую SQL-инъекцию — метод атаки, при котором через ввод вредоносного кода в базу данных хакеры получают несанкционированный доступ к информации. Уязвимость получила рейтинг опасности 9,4 из 10. Она позволяет считывать конфиденциальные данные, управлять списком пользователей, редактировать статьи и изменять темы оформления сайтов без прохождения авторизации.

По данным специалистов китайской компании Qianxin, эксплойт уже затронул более 700 доменов. В списке пострадавших оказались ресурсы престижных учебных заведений, таких как Гарвардский и Оксфордский университеты, поисковая система DuckDuckGo, а также сайты правительственных структур и крупных технологических компаний, занимающихся искусственным интеллектом и разработкой облачного ПО.

Механика атак ClickFix

В ходе текущей кампании злоумышленники используют схему ClickFix — вид социального инжиниринга, при котором пользователю на взломанной странице показывают сообщение о несуществующей технической неполадке. Под видом «инструкции по исправлению ошибки» жертве предлагают скопировать и выполнить скрипт, который на самом деле загружает вирус. В отчетах исследователей отмечается распространение различных типов угроз, включая DLL-загрузчики и вредоносные программы на базе платформы Electron.

Рекомендации по защите

Ghost CMS с открытым исходным кодом используется более чем на 57 000 ресурсов. Уязвимость затрагивает версии от 3.24.0 до 6.19.0 включительно. Для предотвращения компрометации администраторам веб-ресурсов рекомендуется принять следующие меры:

• Срочно обновить Ghost CMS до версии 6.19.1 или более поздней актуальной сборки.
• Проверить логи вызовов административного API за последние 30 дней на предмет подозрительной активности, которая может свидетельствовать о несанкционированном доступе.
• Регулярно проводить аудит безопасности установленных плагинов и тем оформления.

Специалисты подчеркивают, что своевременная установка обновлений является наиболее эффективным способом нейтрализации данной угрозы.