一个已在三个月前被修复的严重级别漏洞,如今正被攻击者大规模利用,用于传播名为 ClickFix 的恶意攻击活动。据安全研究机构披露,该漏洞影响广泛使用的开源内容管理系统(CMS)Ghost,目前已有超过 700 个未打补丁的域名被入侵,并沦为攻击链条中的一环。
漏洞背景与利用细节
该漏洞编号为 CVE-2026-26980,影响 Ghost 3.24.0 至 6.19.0 版本,CVSS 评分高达 9.4(严重级别)。漏洞属于 SQL 注入类型,未经过身份验证的攻击者可利用其从数据库中读取任意数据,进而获取用户、文章、主题乃至文章页面的管理权限。Ghost CMS 是一款流行的开源内容管理系统,官方数据显示其被超过 5.7 万个网站采用,用户包括 404 Media、加拿大政府以及多邻国(Duolingo)等知名机构。
Ghost 开发团队早在 2026 年 2 月中旬便发布了修复版本 6.19.1,并确认该漏洞已被修补。然而,大量网站管理员未能及时升级,导致该漏洞至今仍被广泛利用。国内网络安全公司奇安信监测发现,超过 700 个域名已被入侵并用于承载 ClickFix 攻击流程。受影响网站涵盖哈佛大学、牛津大学、奥本大学、DuckDuckGo 以及众多 AI/SaaS 公司、媒体机构和金融科技企业。
ClickFix 攻击手法与威胁分析
ClickFix 是一种社交工程攻击方式:攻击者首先告知受害者其系统存在某种“问题”(通常并不存在),然后提供一个所谓的“解决方案”。一旦受害者按照指示操作,实际上会下载并执行恶意代码。在此次大规模攻击活动中,研究人员观察到攻击者分发 DLL 加载器、JavaScript 投放器以及基于 Electron 框架的通用型恶意软件,最终载荷可能从经典后门到勒索软件不等。
安全防护建议
面对这一威胁,最有效的缓解措施是将 Ghost CMS 升级至 6.19.1 或当前最新版本。网站管理员还应保留至少 30 天的管理员 API 调用日志,以便在发生入侵后能够追溯分析。及时安装安全补丁、强化日志审计仍然是防御此类大规模漏洞利用的基础手段。
目前,针对 Ghost CMS 用户的攻击仍在持续,使用该系统的网站所有者应尽快检查自身版本并采取更新动作,避免成为下一个受害者。
本文参考来源:TechRadar
微信扫描下方的二维码阅读本文
