#安全资讯 开源内容管理系统 Ghost CMS 遭到黑客持续攻击，超过 700 个使用该 CMS 的网站被黑用于投放恶意脚本。但涉及到的漏洞本身已经在 2 月份修复，所以被黑的这些网站都是到现在还没升级，奇安信观察到两个不同的黑客团体利用漏洞发起攻击，最终可能有大量普通用户被加载恶意脚本。查看详情：https://ourl.co/113068

开源内容管理系统 Ghost CMS (常被用于搭建博客或企业级网站) 在 2 月份修复的漏洞正在被黑客用于发动攻击，该漏洞已经在 6.19.1 版中得到修复，但很多网站到现在还未升级到新版本修复漏洞因此可以被黑客直接利用，而结果就是黑客可以直接控制整个网站并利用网站进行投毒。

利用已知漏洞获取内容修改权限：

2026 年 2 月 Anthropic 通过 Claude 模型发现 Ghost CMS 内容 API 中存在 SQL 注入漏洞，未经身份验证的攻击者可以直接利用漏洞从数据库中读取任意数据，而该漏洞本身已经在 2 月份发布的 6.19.1 版中修复。

该漏洞的危害在于，攻击者可以通过漏洞获取网站管理员 API 密钥，管理员 API 密钥可以用于调用管理员 API 并直接修改所有已经发布的文章，换句话说在获得管理员 API 后，黑客可以直接修改所有已经发布的文章，例如在文章里添加广告或者恶意代码用于后续攻击。

奇安信检测的情况下是超过 700 个网站被黑客拿下并批量修改已经发布的文章，黑客在文章底部注入恶意 JavaScript 加载器，当用户访问时可能会弹出虚假的 Cloudflare CAPTCHA 验证，该验证要求用户在命令提示符中执行恶意命令。

黑客投放的恶意载荷分析：

奇安信安全团队经过分析后发现，黑客在文章底部加载的恶意代码主要用于从外部域名检索有效载荷，这种架构可以提供更大的灵活性，让攻击者能够根据不同的条件替换有效载荷，同时在多个已经被黑的网站上保持恶意载荷的有效性。

当恶意载荷被触发后网站将自动弹出伪造的验证界面，该界面自称需要验证访问者是否为真人，但需要用户复制 Base64 编码的命令在 Windows 10/11 运行对话框中执行，这段命令解码后主要用于通过命令提示符下载 ZIP 压缩包，压缩包才是真正的恶意载荷。

压缩包里面包含多个批处理脚本并且这些脚本也会被自动运行，其中涉及到的 PowerShell 命令则会从远程服务器下载 DLL 控件，使用 rundll32.exe 启动，启动后恶意控件会每隔 30 秒轮询访问 web.telegram.ug 恶意网站，用于接收黑客下发的恶意命令。