700 websites gehackt via Ghost CMS-lek en voorzien van ClickFix-code

In dit artikel:

Meer dan zevenhonderd websites die draaien op het Ghost CMS zijn besmet nadat aanvallers misbruik maakten van een kritieke SQL‑injection (CVE‑2026‑26980). Cybersecuritybedrijf Qianxin ontdekte op 7 mei dat kwaadwillenden via het lek eerst admin‑API‑sleutels en tokens uit de database stalen en vervolgens malafide JavaScript op elke pagina injecteerden. Die code toont bezoekers een valse Cloudflare‑captcha en geeft instructies—onder meer via het Windows‑Runvenster—die leiden tot het downloaden en uitvoeren van malware.

Ghost bracht op 16 februari al een patch uit (versie 6.19.1) die de kwetsbaarheid dichtte, maar veel sites waren niet bijgewerkt of reageerden niet op waarschuwingen van onderzoekers, waardoor de schadelijke code actief bleef. Aanbevolen acties: direct updaten naar 6.19.1, geïnjecteerde scripts verwijderen, gecompromitteerde API‑sleutels intrekken, systemen scannen op malware en backups en logging controleren. Het incident illustreert dat bezoekers makkelijker in de val lopen bij vertrouwde sites met overtuigende nepmeldingen.