Ghost CMSのSQLインジェクション脆弱性が大規模ClickFixキャンペーンで悪用される

#Tech

Ghost CMSのSQLインジェクション脆弱性が大規模ClickFixキャンペーンで悪用される SQL注入で拡散するClic

Ghost CMSのSQLインジェクション脆弱性(CVE-2026-26980)が、大規模なClickFix攻撃に利用されていることが判明しました。

この脆弱性は認証なしでデータベースから管理者APIキーを含む任意のデータを読み取ることが可能であり、大学や金融機関など700以上のドメインが被害に晒されています。

攻撃者はAPIキーを悪用して記事に悪意のあるJavaScriptを注入し、訪問者に対し偽のCloudflareプロンプトを表示させてマルウェアを感染させています。

このリスクから、Ghost CMS管理者は速やかにバージョン6.19.1以降にアップグレードし、関連する全キーをローテーションすることが不可欠です。

日本のウェブサイトで利用されているCMSの一つであるGhost CMSが、重大なSQLインジェクションの脆弱性(CVE-2026-26980)を抱えていることが発覚しました。中国のサイバーセキュリティ企業QianxinのXLabチームが大規模な攻撃キャンペーンを調査した結果、この脆弱性が悪用され、多数のドメインが標的とされている状況が報告されています。

脆弱性悪用による機密情報流出

このCVE-2026-26980は、Ghost CMSのバージョン3.24.0から6.19.0までに影響を及ぼす深刻な欠陥です。認証されていない攻撃者でも、この脆弱性を突くことでウェブサイトのデータベースから任意のデータを読み取ることが可能です。具体的には、管理者向けのAPIキーなど、機密性の高い情報が窃取されるリスクがあります。

このAPIキーは、ユーザーや記事、テーマの管理権限に相当するため、攻撃者がサイト内容を改ざんする足がかりとなってしまいます。

巧妙化する攻撃チェーンの仕組み

攻撃は、まず脆弱性を使って管理者APIキーを盗み出すことから始まります。その後、盗んだ権限を悪用して記事内に悪意のあるJavaScriptを注入します。このスクリプトは、訪問者がターゲットであるかを判断するための検証プロセス(Cloaking)を実行する軽量ローダーです。

検証を通過した訪問者には、記事ページの上にiFrameで偽のCloudflare認証画面が表示され、これが「ClickFix」と呼ばれる詐欺的な誘導(Lure)の役割を果たします。

被害の広がりと対策の重要性

調査によると、この攻撃は大学のポータルサイトやAI/SaaS企業、メディア、フィンテック企業など、700以上の多様なドメインを標的としています。本来、この脆弱性の修正パッチは2月19日にリリースされていたものの、多くのサイトがセキュリティアップデートを適用できていなかったことが原因と見られています。

管理者側は、直ちにCMSをバージョン6.19.1以降にアップグレードし、過去に使用されたすべてのAPIキーをローテーション(再発行)することが最優先で求められています。

まとめ

XLabは、攻撃の痕跡を示すIoC(侵害の指標)を提供しており、ウェブサイトの徹底的なレビューが必要です。セキュリティ対策の遅れが大規模な被害を招いている状況であり、CMS利用者は迅速な対応が求められています。

原文の冒頭を表示(英語・3段落のみ)

A large-scale campaign is exploiting a critical SQL injection vulnerability (CVE-2026-26980) in Ghost CMS to inject malicious JavaScript code that triggers ClickFix attack flows.

The campaign was discovered by XLab threat intelligence researchers at Chinese cybersecurity company Qianxin, who confirmed impact on more than 700 domains, including university portals, AI/SaaS companies, media outlets, fintech firms, security sites, and personal blogs.

According to the researchers, threat actors planted malicious code on the websites of Harvard University, Oxford University, Auburn University, and DuckDuckGo.

※ 著作権に配慮し、引用は冒頭3段落までです。続きは元記事をご覧ください。

元記事を読む ↗