Критическая уязвимость Ghost CMS используется для массовых атак ClickFix

Масштабная кампания по распространению вредоносного ПО, использующая тактику ClickFix, строится на эксплуатации критической уязвимости в популярной CMS Ghost. Проблема была обнаружена еще в середине февраля 2026 года, однако, несмотря на выпуск патча более трех месяцев назад, значительное число владельцев ресурсов до сих пор не обновили свои системы защиты.

Детали уязвимости CVE-2026-26980

Данная уязвимость, получившая идентификатор CVE-2026-26980, затрагивает версии Ghost CMS в диапазоне от 3.24.0 до 6.19.0. С технической точки зрения речь идет об SQL-инъекции, которой присвоен крайне высокий рейтинг опасности — 9.4 балла по шкале CVSS. Если говорить проще, дефект позволяет неавторизованным злоумышленникам выполнять произвольные операции чтения в базе данных. В конечном счете это дает атакующему полный административный доступ к контенту, включая пользовательские данные, структуру статей, а также настройки тем оформления.

Масштабы кампании ClickFix

По данным специалистов компании Qianxin, от бездействия администраторов пострадало уже более 700 доменов. Атакующие используют их для реализации схем ClickFix. На практике это значит, что посетителям ресурсов демонстрируются ложные уведомления о неполадках, для «исправления» которых пользователю предлагают выполнить определенные действия. В итоге вместо решения мнимой проблемы на устройство загружается вредоносный код.

В текущей кампании арсенал злоумышленников оказался довольно разнообразным: исследователи фиксируют распространение DLL-загрузчиков, JavaScript-дропперов, а также специализированное вредоносное ПО, построенное на базе платформы Electron. Среди скомпрометированных адресов значатся серверы крупных образовательных учреждений, таких как Гарвардский, Оксфордский и Обернский университеты, высокотехнологичных SaaS-компаний, финансовых организаций и даже поисковой системы DuckDuckGo.

Рекомендации по безопасности

Для устранения угрозы администраторам необходимо обновить Ghost CMS до версии 6.19.1 или более поздней. Для выявления фактов уже состоявшегося проникновения рекомендуется проанализировать логи вызовов API администратора за последние 30 суток. Подобный аудит — это, если коротко, единственный способ понять, проводились ли несанкционированные изменения в базе данных до установки актуального патча.