Iskorišten propust u Ghost CMS-u za napade na više od 700 web-stranica

Kineska kibernetička tvrtka Qianxin navodi da je ranjivost u sustavu za upravljanje sadržajem Ghost, zakrpana prije nekoliko mjeseci, iskorištena u napadima na stotine web-stranica. Riječ je o propustu označenom kao CVE-2026-26980, a među kompromitiranim stranicama nalaze se i one povezane s velikim institucijama, uključujući Harvard, Oxford i DuckDuckGo.

Ghost je otvoreni CMS namijenjen blogovima, newsletterima i izdavaštvu te ima ugrađene alate za članstva, pretplate i monetizaciju publike. Njegov developer navodi da se aktivno koristi na više od 100.000 web-stranica. Kada je CVE-2026-26980 objavljen, SentinelOne je upozorio da se SQL injection propust može iskoristiti bez autentikacije za izvlačenje osjetljivih podataka iz Ghostove baze, uključujući autentikacijske tokene, korisničke vjerodajnice i sadržaj stranica.

Qianxin je prošloga tjedna objavio da je CVE-2026-26980 iskorišten u masovnim napadima na nepatcheirane Ghost instance. Prema navodima te tvrtke, napadači su iskoristili ranjivost kako bi došli do Admin API Keyja ciljane stranice, a zatim su putem API-ja mijenjali članke objavljene na Ghostovim stranicama. U te su članke umetali zlonamjerne JavaScript učitavače namijenjene ClickFix napadima. Kao dodatni trag Qianxin navodi da je vremenska oznaka kompilacije DLL datoteke korištene u napadu 16. veljače, isti dan kada je najavljena zakrpa za CVE-2026-26980.

Qianxin kaže da je prve kompromitirane web-stranice počeo uočavati početkom svibnja i da je do sada identificirao više od 700 kompromitiranih stranica u toj kampanji. Među njima su, prema navodima tvrtke, i stranice DuckDuckGoa, Harvarda i Oxforda. Analiza pokazuje da je gotovo polovica hakiranih stranica osobnih blogova i neovisnih projekata, dok desetci pripadaju blogovima vezanima uz razvoj softvera i tehnologiju, umjetnu inteligenciju, kriptovalute i druge vrste organizacija.

Tvrtka navodi i da je obavijestila velik broj pogođenih vlasnika stranica, ali da se velika većina nije odazvala na njezine obavijesti. Qianxin također kaže da najmanje dvije skupine trenutačno aktivno provode takve operacije trovanja sadržaja te da su se neke stranice našle i u međusobnom natjecanju tih skupina, pri čemu je unutar istog dana više puta umetnut različit zlonamjerni kod.