- 研究者らが警告:Ghost CMSの重大なSQL インジェクション脆弱性CVE-2026-26980(スコア9.4)が大規模なClickFix キャンペーンで悪用されている
- Harvard、Oxford、DuckDuckGo、主要なAI/SaaS企業を含む700以上のドメインが、DLLローダー、JavaScriptドロッパー、Electronベースのペイロードを通じてマルウェアを配信するために侵害された
- 管理者は緊急にGhost 6.19.1以降にアップグレードし、潜在的な侵害を検出するために30日間の管理API ログを監視する必要があります
3か月前にパッチが当たったと報告されている重大な脆弱性が、大規模なClickFix キャンペーンで悪用されていると、研究者らが主張しています。
2026年2月中旬、Ghost CMS、つまり404 Media、カナダ政府、Duolingoなど57,000以上のウェブサイトで現在使用されている人気のあるオープンソースコンテンツマネジメントシステム(CMS)に、重大なSQL インジェクション脆弱性が発見されました。
CVE-2026-26980として追跡されるこの脆弱性はGhost 3.24.0から6.19.0に影響し、認証されていない攻撃者がデータベースから任意の読み取りを実行できるため、9.4/10(重大)の重大度スコアが割り当てられました。これにより、ユーザー、記事、テーマ、および記事ページへの管理アクセスが許可されます。
様々なマルウェアの展開
しかし、中国のサイバーセキュリティ企業Qianxinが700以上のドメインがClickFix 攻撃フローを提供するために侵害されたと主張しているため、多くのユーザーはおそらくパッチを当てていません。
その中には、Harvard University、Oxford University、Auburn University、DuckDuckGo、および多くのAI/SaaS企業サイト、メディアアウトレット、フィンテック企業などが含まれています。
ClickFixは、攻撃者が被害者に問題があると告げ(実際にはない)、その後解決策を提供するという詐欺の一種です(実はそうではありません)。しかし「解決策」はマルウェアの一部を展開するだけであり、攻撃者とターゲットによって、古典的なバックドアからランサムウェア暗号化機までさまざまです。
このキャンペーンでは、研究者らはDLLローダー、JavaScriptドロッパー、および汎用のElectronベースのマルウェアが配布されるのを目撃しました。
脅威を軽減する最善の方法は、Ghost CMSをバージョン6.19.1、または現在の最新バージョンにアップグレードすることです。ウェブサイトの所有者は、潜在的な侵害を追跡するために、30日間の管理API呼び出しログの記録を保持することもお勧めします。
