Ghost CMS експлуатують для ClickFix: отруєно понад 700 сайтів

Зловмисники використовують CVE-2026-26980 у Ghost CMS, щоб додавати ClickFix-лоадери на довірені сайти. Оновіть Ghost, змініть API-ключі та не запускайте команди з фальшивих перевірок.

Ghost CMS сторінка з фальшивою ClickFix перевіркою та попередженням про отруєння сайту.

Зловмисники використовують Ghost CMS CVE-2026-26980, щоб перетворювати легітимні блоги та сторінки компаній на ClickFix-приманки зі шкідливим ПЗ. QiAnXin XLab повідомляє про понад 700 отруєних доменів Ghost: атакувальники через SQL-ін’єкцію отримували Admin API key, масово змінювали записи та додавали в кінець сторінок шкідливі JavaScript-лоадери [1].

Головний ризик не обмежується адміністраторами Ghost. Відвідувач може відкрити довірений сайт і побачити підроблену перевірку «я не робот», яка просить натиснути Win+R, вставити текст і виконати команду. Це типовий ClickFix: сайт переконує людину власноруч запустити останній етап зараження.

Кого це стосується

Адміністраторам варто діяти негайно, якщо вони використовують self-hosted Ghost від v3.24.0 до v6.19.0. В офіційному advisory Ghost зазначено, що v6.19.1 виправляє SQL-ін’єкцію, а через можливий доступ до API-ключів потрібно переглянути staff-користувачів і змінити ключі [2]. Користувачам слід насторожитися, якщо звичайна стаття, SaaS-сторінка, університетський блог або медіасайт раптом показує Cloudflare-подібну перевірку з вимогою виконати локальну команду.

ОзнакаЧому це важливо
Ghost v3.24.0-v6.19.0Ці версії вразливі; виправлення є у v6.19.1.
Масові редагування записів або незнайомі Admin API-запитиАтакувальники використовували викрадені Admin API key для вставки лоадерів у контент.
Фальшива сторінка перевіркиПриманка просить виконати команду локально, а не пройти нормальний браузерний challenge.
Неочікувані завантаження на кшталт update.zip або NotepadPlusPlus.zipXLab бачив ланцюжки ClickFix зі скриптами, DLL та Electron-пейлоадом.

XLab описує п’ять етапів атаки: захоплення CMS, отруєння сторінок, двоетапне завантаження скриптів, фальшива перевірка та доставка malware. Кампанія також використовувала cloaking: дослідник або crawler міг бачити безпечну сторінку, тоді як реальний відвідувач отримував шкідливий сценарій. На пізніших етапах дослідники фіксували лоадери з PowerShell або rundll32 та Electron-пейлоадом, який намагався закріпитися в системі [1].

Що зробити зараз

Якщо ви адмініструєте Ghost, спочатку оновіть сайт. Для актуального self-hosted Ghost 6.x документація вказує на команду ghost update і радить зробити backup перед оновленням [3]. Після патчу змініть Admin API key, Content API key, паролі staff-користувачів і активні сесії. Далі перевірте post bodies, Code Injection, theme files та Admin API logs на масові редагування або незнайомі клієнти.

Корисні серверні ознаки: рядки atob(, appendChild, btoa(a.origin) або незвичні script-теги наприкінці статей. Не обмежуйтеся візуальним редактором: якщо вставка сидить у базі даних або темі, поверхневе очищення може її не прибрати.

Якщо ви відвідувач і бачили таку фальшиву перевірку, не вставляйте й не запускайте команду. Перевірте завантаження браузера на неочікувані архіви, особливо update.zip або пакети, замасковані під утиліти. Якщо команда вже виконувалась, вийдіть із чутливих акаунтів, видаліть завантажений файл і проскануйте систему. Друга перевірка через Gridinsoft Anti-Malware допоможе знайти залишки DLL, скриптів або stealer-компонентів після закриття вкладки.

FAQ

Це проблема лише для адміністраторів Ghost?

Ні. Адміністратор має оновити й очистити сайт, але відвідувачі можуть отримати ClickFix-приманку на вже скомпрометованій довіреній сторінці.

Яка версія Ghost виправляє CVE-2026-26980?

GitHub advisory для Ghost вказує v6.19.1 як виправлену версію. Вразливими є Ghost v3.24.0-v6.19.0.

Чи можна запускати скопійовану команду для проходження перевірки?

Ні. Нормальна перевірка браузера або Cloudflare не просить натискати Win+R і вставляти команду. Такий сценарій слід вважати спробою доставки malware.

Що потрібно змінити власнику сайту після компрометації?

Насамперед змініть Admin API keys, потім Content API keys, паролі staff-користувачів і сесії. Також видаліть невідомі або давно не використовувані ключі.

Джерела

  1. QiAnXin XLab, Ghost CMS Mass Compromised via CVE-2026-26980, Now Fueling ClickFix Attacks, 21 травня 2026. Звіт
  2. TryGhost/Ghost GitHub Security Advisory GHSA-w52v-v783-gw97, SQL injection in Content API, опубліковано 16 лютого 2026. Advisory
  3. Ghost Developer Docs, How To Update Ghost. Інструкція

Якщо сайт WordPress використовує map або location-directory плагіни, окремо перевірте WP Maps Pro CVE-2026-8732, бо rogue admin account може передувати вставкам скриптів або ClickFix-приманкам.

Для іншого випадку, де скомпрометований сайт стає каналом для прихованих інструкцій і шкідливого коду, дивіться Steam C2-бекдор у WordPress-шкіднику.

Схожий ризик копійованих команд тепер зʼявляється і в коротких відео: дивіться наш матеріал про TikTok/Reels-ролики, що просувають Vidar через PowerShell, якщо інструкція прийшла не з CAPTCHA-сторінки, а з соцмережі.

Окремий ClickFix-кейс: В одному свіжому інциденті фейкова перевірка доставила Potemkin Loader, RMMProject та EtherRAT на понад 11 хостів. Якщо користувач уже виконав команду, дивіться наш розбір Potemkin Loader через ClickFix.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.