Зловмисники використовують Ghost CMS CVE-2026-26980, щоб перетворювати легітимні блоги та сторінки компаній на ClickFix-приманки зі шкідливим ПЗ. QiAnXin XLab повідомляє про понад 700 отруєних доменів Ghost: атакувальники через SQL-ін’єкцію отримували Admin API key, масово змінювали записи та додавали в кінець сторінок шкідливі JavaScript-лоадери [1].
Головний ризик не обмежується адміністраторами Ghost. Відвідувач може відкрити довірений сайт і побачити підроблену перевірку «я не робот», яка просить натиснути Win+R, вставити текст і виконати команду. Це типовий ClickFix: сайт переконує людину власноруч запустити останній етап зараження.
Кого це стосується
Адміністраторам варто діяти негайно, якщо вони використовують self-hosted Ghost від v3.24.0 до v6.19.0. В офіційному advisory Ghost зазначено, що v6.19.1 виправляє SQL-ін’єкцію, а через можливий доступ до API-ключів потрібно переглянути staff-користувачів і змінити ключі [2]. Користувачам слід насторожитися, якщо звичайна стаття, SaaS-сторінка, університетський блог або медіасайт раптом показує Cloudflare-подібну перевірку з вимогою виконати локальну команду.
| Ознака | Чому це важливо |
|---|---|
| Ghost v3.24.0-v6.19.0 | Ці версії вразливі; виправлення є у v6.19.1. |
| Масові редагування записів або незнайомі Admin API-запити | Атакувальники використовували викрадені Admin API key для вставки лоадерів у контент. |
| Фальшива сторінка перевірки | Приманка просить виконати команду локально, а не пройти нормальний браузерний challenge. |
| Неочікувані завантаження на кшталт update.zip або NotepadPlusPlus.zip | XLab бачив ланцюжки ClickFix зі скриптами, DLL та Electron-пейлоадом. |
XLab описує п’ять етапів атаки: захоплення CMS, отруєння сторінок, двоетапне завантаження скриптів, фальшива перевірка та доставка malware. Кампанія також використовувала cloaking: дослідник або crawler міг бачити безпечну сторінку, тоді як реальний відвідувач отримував шкідливий сценарій. На пізніших етапах дослідники фіксували лоадери з PowerShell або rundll32 та Electron-пейлоадом, який намагався закріпитися в системі [1].
Що зробити зараз
Якщо ви адмініструєте Ghost, спочатку оновіть сайт. Для актуального self-hosted Ghost 6.x документація вказує на команду ghost update і радить зробити backup перед оновленням [3]. Після патчу змініть Admin API key, Content API key, паролі staff-користувачів і активні сесії. Далі перевірте post bodies, Code Injection, theme files та Admin API logs на масові редагування або незнайомі клієнти.
Корисні серверні ознаки: рядки atob(, appendChild, btoa(a.origin) або незвичні script-теги наприкінці статей. Не обмежуйтеся візуальним редактором: якщо вставка сидить у базі даних або темі, поверхневе очищення може її не прибрати.
Якщо ви відвідувач і бачили таку фальшиву перевірку, не вставляйте й не запускайте команду. Перевірте завантаження браузера на неочікувані архіви, особливо update.zip або пакети, замасковані під утиліти. Якщо команда вже виконувалась, вийдіть із чутливих акаунтів, видаліть завантажений файл і проскануйте систему. Друга перевірка через Gridinsoft Anti-Malware допоможе знайти залишки DLL, скриптів або stealer-компонентів після закриття вкладки.
FAQ
Це проблема лише для адміністраторів Ghost?
Ні. Адміністратор має оновити й очистити сайт, але відвідувачі можуть отримати ClickFix-приманку на вже скомпрометованій довіреній сторінці.
Яка версія Ghost виправляє CVE-2026-26980?
GitHub advisory для Ghost вказує v6.19.1 як виправлену версію. Вразливими є Ghost v3.24.0-v6.19.0.
Чи можна запускати скопійовану команду для проходження перевірки?
Ні. Нормальна перевірка браузера або Cloudflare не просить натискати Win+R і вставляти команду. Такий сценарій слід вважати спробою доставки malware.
Що потрібно змінити власнику сайту після компрометації?
Насамперед змініть Admin API keys, потім Content API keys, паролі staff-користувачів і сесії. Також видаліть невідомі або давно не використовувані ключі.
Джерела
- QiAnXin XLab, Ghost CMS Mass Compromised via CVE-2026-26980, Now Fueling ClickFix Attacks, 21 травня 2026. Звіт
- TryGhost/Ghost GitHub Security Advisory GHSA-w52v-v783-gw97, SQL injection in Content API, опубліковано 16 лютого 2026. Advisory
- Ghost Developer Docs, How To Update Ghost. Інструкція
Якщо сайт WordPress використовує map або location-directory плагіни, окремо перевірте WP Maps Pro CVE-2026-8732, бо rogue admin account може передувати вставкам скриптів або ClickFix-приманкам.
Для іншого випадку, де скомпрометований сайт стає каналом для прихованих інструкцій і шкідливого коду, дивіться Steam C2-бекдор у WordPress-шкіднику.
Схожий ризик копійованих команд тепер зʼявляється і в коротких відео: дивіться наш матеріал про TikTok/Reels-ролики, що просувають Vidar через PowerShell, якщо інструкція прийшла не з CAPTCHA-сторінки, а з соцмережі.
Окремий ClickFix-кейс: В одному свіжому інциденті фейкова перевірка доставила Potemkin Loader, RMMProject та EtherRAT на понад 11 хостів. Якщо користувач уже виконав команду, дивіться наш розбір Potemkin Loader через ClickFix.
