Ghost CMS CVE-2026-26980: 700 Sites in ClickFix-Kampagne

ALARM: Wenn du in den letzten Tagen auf einer Uni-Webseite plötzlich ein „Cloudflare verifiziert deinen Browser“-Pop-up gesehen hast, das dich zu einem PowerShell-Befehl auffordert — Finger weg. Genau so läuft die neue Mega-Kampagne von CVE-2026-26980: einer SQL-Injection in Ghost CMS, die XLab-Forscher (Qianxin) auf über 700 Domains gefunden haben.

UNGLAUBLICH: Wie der Angriff funktioniert

Die Lücke sitzt im Slug-Filter der Ghost-Content-API. Statt parametrisierter Queries klebt der Code vom Nutzer kommende Werte direkt in SQL-CASE-Statements. Ein unauthentifizierter Angreifer feuert eine präparierte URL ab, liest beliebige Daten aus der Datenbank — und zieht sich die Admin-API-Keys. Mit diesen Keys postet er neue Artikel mit Malware-JavaScript: ein leichtgewichtiger Loader fingerprintet den Besucher, prüft Standort und Browser und blendet bei passenden Zielen ein Fake-Cloudflare-Captcha ein. Das Pop-up fordert: „Drücke Win+R, paste diesen Befehl.“ Wer das tut, hat einen DLL-Loader, einen JavaScript-Dropper oder die Electron-Malware UtilifySetup.exe auf dem PC.

GEFAHR! Diese Mega-Marken trifft es bereits

XLab hat unter den 700+ befallenen Sites bekannte Namen ausgegraben: Harvard University, Oxford University, Auburn University und sogar DuckDuckGo. Dazu Medien, Fintechs, KI-Startups, Security-Blogs und private Personenseiten. Wenn deine eigene Ghost-Instanz dabei ist, wirst du es vermutlich nicht selbst merken — der Schadcode wird nur unsichtbaren Besuchergruppen ausgespielt.

So rettest du deine Ghost-Seite in 5 MINUTEN

Update auf Ghost 6.19.1 oder neuer. Der Patch existiert schon seit 19. Februar 2026 — viele Self-Hoster haben ihn liegen lassen.
Alle Admin-API-Keys rotieren (Settings → Integrations → Keys neu generieren).
Posts und Pages durchscrollen: Achte auf fremde <script>-Tags am Anfang oder Ende des HTML — vor allem Loader, die etwas wie fetch("https://...") aufrufen.
Server-Logs auf SQL-untypische Slug-Parameter prüfen.

FAZIT: Patch existiert seit Februar — Spinnenweben sind keine Verteidigung

Die Lücke ist über drei Monate gepatcht. Dass Hunderte hochwertige Sites trotzdem fallen, ist kein Ghost-Problem, sondern ein Pflege-Problem. Wer ein selbstgehostetes CMS betreibt — egal ob Ghost, WordPress oder Drupal — braucht ein automatisches Patch-Fenster und ein Monitoring, das fremdes JavaScript meldet. Sonst landest du in der nächsten ClickFix-Kampagne.

Häufige Fragen

Welche Ghost-Versionen sind betroffen?

Ghost 3.24.0 bis 6.19.0. Sicher ist erst 6.19.1 (Februar 2026) oder neuer. Wer noch unter 3.24 läuft, hat zwar das spezifische Loch nicht, aber andere — bitte auf eine gepflegte Version updaten.

Wie merke ich, ob meine Seite kompromittiert wurde?

Schau in den Quelltext eines beliebigen Artikels (Strg+U) und suche nach Skripts, die zu Domains außerhalb deiner eigenen Site rufen. Ein verräterisches Muster: ein winziges Loader-Skript ganz unten im Artikel-Body, das per fetch() oder document.write() Code nachlädt. Zusätzlich: Wenn Admin-Logins von unbekannten IPs auftauchen, ist es zu spät.

Wie behebe ich das Problem konkret?

1) Update auf 6.19.1+. 2) Admin-API-Keys neu generieren. 3) Alle Posts und Pages auf fremdes JavaScript prüfen und löschen. 4) Nutzer-Sessions invalidieren. 5) Server-Logs nach erfolgreichen 200er-Antworten auf merkwürdige Slug-Parameter durchforsten und ggf. forensische Analyse einleiten.

Gab es schon aktive Angriffe?

Ja. XLab hat über 700 Domains gefunden — darunter Harvard, Oxford, Auburn und DuckDuckGo. Die ClickFix-Kampagne läuft seit Wochen und zielt auf bequeme Windows-Nutzer, die einen kopierten PowerShell-Befehl ausführen.

GHOST-SCHOCK! Hacker schmuggeln JETZT Fake-Cloudflare-Pop-ups auf Harvard, Oxford und DuckDuckGo