CVE-2026-26980 – критична вразливість типу SQL ін’єкції у системі управління контентом Ghost CMS версій від 3.24.0 до 6.19.0. Вразливість розташована в механізмі сортування slug-filter-order.js у серіалізаторі вхідних даних Content API – функція slugFilterOrder будує рядок SQL-запиту через пряме обʼєднання з рядком Javascript без жодної перевірки або параметризації. Рейтинг CVSS становить 9.4, класифікація CWE-89. Вразливість закрита у версії 6.19.1, однак, за даними дослідників, переважна більшість операторів не встановили оновлення своєчасно. Зловмисники використовують CVE-2026-26980, щоб без жодної автентифікації прочитати вміст бази даних включно з ключем адміністратора, який дає повне право на управління статтями, темами та користувачами сайту.

Отримавши ключ адміністратора, атакувальники масово вносять зміни до опублікованих статей, впроваджуючи в них шкідливий JavaScript. Цей код реалізує схему ClickFix – вид соціальної інженерії, де відвідувачу сайту показують підроблену капчу або сповіщення про «помилку браузера» та переконують власноруч виконати команду у терміналі або завантажити файл. Повний ланцюг атаки охоплює п’ять стадій: захоплення CMS → підміна вмісту сторінки → двоетапне завантаження → соціальна інженерія → доставка шкідливого програмного забезпечення. Весь процес повністю автоматизований: масове сканування вразливих сайтів, автоматичне вилучення ключів і масштабне отруєння сторінок. Дослідники зафіксували активність щонайменше двох конкуруючих угруповань, що одночасно атакують одні й ті самі сайти – деякі ресурси мали кілька різних шкідливих впроваджень, підмінених одне за одним упродовж однієї доби.