A Ghost tartalomkezelő rendszer (CMS) egy néhány hónappal ezelőtt javított sebezhetőségét kihasználva több száz weboldalt feltörtek, köztük olyan nagyobb szervezetek weboldalait is, mint a Harvard, az Oxford és a DuckDuckGo.

A Ghost egy széles körben használt, nyílt forráskódú CMS (content management system), amelyet kifejezetten blogoláshoz, hírlevelekhez és publikáláshoz terveztek, továbbá beépített lehetőségeket kínál a részvételi tagsághoz, előfizetésekhez és általános bevételszerzéshez. A fejlesztők elmondása szerint jelenleg 100.000 weboldal használja aktívan a Ghost-ot.

A szóban forgó CVE-2026-26980 azonosítón nyilván tartott sebezhetőséget még februárban fedezte fel a SentinelOne biztonsági cég, amelyre rövid időn belül meg is érkezett a javítás. A sebezhetőség egy SQL injection hiba, amely a támadók számára lehetővé teszi érzékeny adatok, például hitelesítő tokenek, felhasználói hitelesítő adatok és egyéb weboldal-tartalmak kinyerését a Ghost adatbázisából.

A sérülékenység javítása óta a Qianxin biztonsági cég a nem frissített weboldalak közül több mint 700 feltört weboldalt azonosított, amelyek közel fele független weboldal és személyes blog, de több olyan szoftverfejlesztő és tech cég weboldala is érintett, akik mesterséges intelligenciával és kriptovalutával foglalkoznak. A Qianxin elmondása szerint a támadók a sérülékenység kihasználásával megszerzett hitelesítő adatok, például az admin API kulcsok segítségével rosszindulatú JavaScript-kódot fecskendeztek be a kompromittált oldalakra, amelyeket ClickFix típusú támadásokhoz használtak fel. A kampányban legalább két aktív kiberbűnözői csoport végez támadásokat.