تشهد منصة Ghost CMS استغلالًا واسع النطاق لثغرة أمنية حرجة في حقن SQL (CVE-2026-26980)، حيث تستهدف حملات منظمة إدخال تعليمات برمجية ضارة من نوع JavaScript تؤدي إلى هجمات ClickFix الخبيثة.
كشف باحثو استخبارات التهديدات في XLab بشركة Qianxin الصينية عن هذه الحملة، مؤكدين تأثر أكثر من 700 نطاق بها. تشمل النطاقات المستهدفة بوابات جامعات مرموقة مثل جامعة هارفارد وأكسفورد وأوبورن، بالإضافة إلى شركات الذكاء الاصطناعي وSaaS ووسائل الإعلام وشركات التكنولوجيا المالية والمواقع الأمنية والمدونات الشخصية، وحتى محرك البحث DuckDuckGo.
تستهدف الثغرة، المسماة CVE-2026-26980، إصدارات Ghost CMS من 3.24.0 حتى 6.19.0. تسمح هذه الثغرة للمهاجمين غير المصادقين بقراءة بيانات عشوائية من قاعدة بيانات الموقع، بما في ذلك مفاتيح API الخاصة بالمسؤول. يتيح هذا الوصول الإداري التحكم الكامل بالمستخدمين والمقالات والمواضيع، مما يفتح الباب أمام تعديل محتوى الصفحات بشكل تعسفي.
على الرغم من إصدار Ghost CMS لإصلاح هذه المشكلة في 19 فبراير ضمن الإصدار 6.19.1، إلا أن عددًا كبيرًا من المواقع لم يقم بتثبيت التحديث الأمني، مما يجعلها عرضة للاستغلال.
في 27 فبراير، نشرت SentinelOne تفاصيل حول استغلال CVE-2026-26980 في الهجمات وكيفية الكشف عن الحوادث. وقد لاحظ الباحثون وجود مجموعتين على الأقل من الجهات الفاعلة التي تستهدف مواقع Ghost الضعيفة، وفي بعض الحالات، تقوم إحداهما بإعادة إصابة نفس النطاقات بنصوص برمجية مختلفة بعد تنظيفها، أو حتى تقوم بتنظيف نص برمجي لأخرى لتحقن نصها الخاص.
سلسلة الهجوم
تبدأ الهجمات الموثقة بواسطة XLab باستغلال ثغرة CVE-2026-26980 لسرقة مفاتيح API الخاصة بالمسؤول. بمجرد الحصول على هذه الصلاحيات، يتم استخدامها لحقن تعليمات JavaScript برمجية ضارة داخل المقالات المنشورة على المواقع المخترقة.
يعمل كود JavaScript المحقون كأداة تحميل خفيفة تجلب كود المرحلة الثانية من البنية التحتية للمهاجمين. هذا الكود هو في الأساس برنامج نصي لإخفاء الهوية يجمع بصمات الأصابع الرقمية للزوار لتحديد ما إذا كانوا أهدافًا محتملة للهجوم.
للضحايا الذين يجتازون عملية التحقق، يتم عرض مطالبة Cloudflare مزيفة، يتم تحميلها عبر iframe أعلى صفحة المقالة. تحتوي هذه الصفحة على إغراء ClickFix، حيث تطلب من الضحايا ‘التحقق من أنهم بشر’ عبر لصق أمر معين في موجه أوامر Windows الخاص بهم، مما يؤدي إلى إسقاط حمولة ضارة على أنظمتهم.
لاحظ XLab استخدام حمولات متعددة في هذه الهجمات، بما في ذلك أدوات تحميل DLL (مكتبات الربط الديناميكي)، وقطرات JavaScript، وعينة من البرامج الضارة القائمة على Electron والتي أطلق عليها اسم UtilifySetup.exe.
التخفيف من المخاطر
يتمثل الإجراء الأكثر أهمية لمسؤولي مواقع Ghost CMS في الترقية الفورية إلى الإصدار 6.19.1 أو أي إصدار أحدث. بالإضافة إلى ذلك، يجب تدوير جميع مفاتيح API المستخدمة سابقًا، حيث يُحتمل أنها تعرضت للاختراق.
قدم XLab قائمة بمؤشرات الاختراق (IoCs)، بما في ذلك النصوص البرمجية الضارة المحقونة. لذلك، يتطلب الأمر إجراء مراجعة شاملة للمواقع لتحديد مكان هذه النصوص وإزالتها على الفور.
كما يوصي الباحثون مالكي المواقع بالاحتفاظ بسجل لمكالمات واجهة برمجة التطبيقات الإدارية لمدة 30 يومًا على الأقل، لتمكين إجراء تحقيقات موثوقة في حال حدوث أي اختراق في المستقبل.