攻击者利用Ghost CMS高危缝隙注入恶意代码

首页 > 安全钻研 > 安全传递 > 安全简讯

攻击者利用Ghost CMS高危缝隙注入恶意代码

颁布功夫 2026-05-25

1. 攻击者利用Ghost CMS高危缝隙注入恶意代码

5月24日，，，，，一场大规模网络攻击活动正利用Ghost内容治理系统（CMS）中的一个严沉SQL注入缝隙（CVE-2026-26980），，，，，向指标网站注入恶意JavaScript代码，，，，，进而触发ClickFix攻击流程。。。。。。。该缝隙影响Ghost 3.24.0至6.19.0版本，，，，，允许未经身份验证的攻击者从网站数据库中读取肆意数据，，，，，蕴含治理员API密钥。。。。。。。一旦获得该密钥，，，，，攻击者便可占有治理员权限，，，，，接见用户、文章和主题，，，，，并篡改文章页面。。。。。。。只管Ghost CMS已在6.19.1版本中于2月19日颁布建复补丁！�。。。。。�，，，，但大量网站未能实时更新，，，，，导致缝隙被宽泛利用。。。。。。。钻研人员发现，，，，，这次攻击已影响超过700个域名，，，，，受害者蕴含大学门户网站、人为智能与SaaS公司、媒体机构、金融科技公司、安全网站以及幼我博客。。。。。。。令人关注的是，，，，，攻击者甚至在哈佛大学、牛津大学、奥本大学和DuckDuckGo等驰名机构的网站上植入了恶意代码。。。。。。。钻研人员至少观察到两个分歧的攻击活动集群，，，，，它们会重温习染统一域名，，，，，甚至在算帐后沉新注入剧本，，，，，或者相互覆盖对方的恶意代码。。。。。。。

https://www.bleepingcomputer.com/news/security/ghost-cms-sql-injection-flaw-exploited-in-large-scale-clickfix-campaign/

2. Laravel Lang包遭篡改，，，，，供给链攻击窃取开发者凭证

5月23日，，，，，一场针对Laravel Lang本地化包的供给链攻击在产生，，，，，攻击者通过滥用GitHub版本标签职能，，，，，利用Composer包治理器分发恶意代码，，，，，使开发者面对复杂的凭证窃取恶意软件威胁。。。。。。。安全公司StepSecurity、Aikido Security和Socket于近日发出忠告，，，，，称攻击者篡改了Laravel Lang组织守护的四个存储库中的GitHub标签，，，，，而非颁布全新的恶意版本。。。。。。。这些Laravel Lang软件包是第三方本地化包，，，，，并非Laravel官方项主张一部门。。。。。。。这次攻击的特殊之处在于，，，，，攻击者并没有批改项主张现实源代码来增长恶意代码，，，，，而是滥用了GitHub的一项职能，，，，，该职能允许标签指向统一存储库中分歧分支的提交。。。。。。。攻击者沉写了每个存储库中所有现有的git标签，，，，，使其指向一个新的恶意提交，，，，，而非颁布新的恶意版本。。。。。。。沉写操作从laravel-lang/lang起头，，，，，到laravel-lang/actions实现，，，，，所有四个仓库均使用了一样的伪做作者身份、一样的批改文件和一样的有效载荷行为，，，，，这险些能够注定是由统一攻击者使用一个被盗用的、拥有组织级推送权限的凭证所为。。。。。。。据Aikido称，，，，，攻击者入侵了三个存储库中的233个版本，，，，，而Socket暗示约莫700个汗青版本可能受到了影响。。。。。。。

https://www.bleepingcomputer.com/news/security/laravel-lang-packages-hijacked-to-deploy-credential-stealing-malware/

3. 意大利粉碎CINEMAGOAL盗版生态，，，，，致3亿欧元损失

5月23日，，，，，意大利敌灾成功粉碎了一个以CINEMAGOAL利用为主题的重大盗版生态系统。。。。。。。与典型的IPTV服务提供商分歧，，，，，CINEMAGOAL采取了更为荫蔽的运作方式，，，，，它不进行公开营销，，，，，而是通过用户自行装置的利用法式来实现盗版接见。。。。。。。在代号为“Tutto Chiaro”的大规模反盗版行动中，，，，，意大利金融警员队列在全国领域内执行了100次搜查，，，，，查获了大量有助于鉴别涉案人员及确定犯法所得的关键资料。。。。。。。CINEMAGOAL的运作机造极具技术先进性。。。。。。。该利用直接衔接到合法的流媒体平台，，，，，使用从国表服务器获取的有效解密代码进行身份验证。。。。。。。系统利用位于意大利境内的虚构机，，，，，每三分钟从合法订阅中捕获有效的身份验证和解密代码，，，，，而后沉新分发给客户。。。。。。。值妥贴心的是，，，，，这些合法订阅均使用虚伪身份信息在Sky、DAZN、Netflix、Disney+和Spotify等平台上开明。。。。。。。与传统的盗版流媒体分歧，，，，，CINEMAGOAL不仅绕过了平台的安全关闭，，，，，还提供了更优质的旁观履历，，，，，用户直接从原服务旁观内容而非接管劣质盗版流，，，，，同时系统覆盖了用户的真实IP地址，，，，，大大降低了被拦截的可能性。。。。。。。据估计，，，，，该盗版生态在其运营期间造成的未付订阅收入损失约为3亿欧元。。。。。。。

https://www.bleepingcomputer.com/news/legal/italy-disrupts-cinemagoal-piracy-app-that-stole-streaming-auth-codes/

4. 加男子运营200万台设备僵尸网络，，，，，遭美加结合扣留

5月22日，，，，，美国和加拿大当局近日扣留并指控一名23岁的加拿大男子雅各布·巴特勒（网名“多特”），，，，，罪名是运营名为KimWolf的散布式回绝服务（DDoS）僵尸网络。。。。。。。该僵尸网络规模惊人，，，，，习染了全球近200万台设备。。。。。。。巴特勒于周三在渥太华被加拿大当局凭据引渡令扣留，，，，，目前正期待被引渡至美国。。。。。。。他面对一项协助和支使推算机入侵的指控，，，，，最高可判处10年禁锢。。。。。。。凭据阿拉斯加地域颁布的刑事诉状，，，，，法律部门通过IP地址、在线账户信息、买卖纪录和在线新闻纪录，，，，，成功将巴特勒与KimWolf僵尸网络联系起来。。。。。。。KimWolf现实上是一个DDoS攻击出租服务平台，，，，，被网络犯罪分子用来提议规�？？？？？？？涨暗墓セ鳎�，，，，最高攻击流量靠近每秒30太比特，，，，，是其时公开披露的最大规模DDoS攻击之一。。。。。。。巴特勒选取网络犯罪即服务模式，，，，，向客户销售对重大受控设备网络的接见权限。。。。。。。这些被习染的设备种类繁多，，，，，蕴含数码相框、网络摄像头、基于安卓系统的电视盒和流媒体设备等物联网终端。。。。。。。该僵尸网络被用于对全球推算机和服务器提议超过25,000次攻击，，，，，攻击指标甚至蕴含美国国防部信息网络的IP地址，，，，，给部门受害者造成了超过100万美元的经济损失。。。。。。。

https://www.bleepingcomputer.com/news/security/us-and-canada-arrest-and-charge-suspected-kimwolf-botnet-admin/

5. 趋向科技建复已遭利用的Apex One零日缝隙

5月22日，，，，，日本网络安全软件公司趋向科技已建复了一个针对其Windows版Apex One终端安全平台的零日缝隙，，，，，该缝隙已被发此刻现实环境中遭到攻击利用。。。。。。。Apex One是趋向科技的企业级终端安全平台，，，，，用于保唬�；；；；；て笠低缑馐芏褚馊砑⒗账魅砑⑽尬募セ骱突赪eb的威胁等多种安全威胁。。。。。。。该缝隙编号为CVE-2026-34926，，，，，是一个存在于Apex One本地部署服务器中的目录遍历缝隙，，，，，允许拥有治理员权限的本地攻击者注入恶意代码。。。。。。。据趋向科技周四披露，，，，，该目录遍历缝隙可能允许预先经过身份验证的本地攻击者批改服务器上的密钥表，，，，，从而注入恶意代码并将其部署到受影响装置中的代理上。。。。。。。必要注明的是，，，，，此缝隙仅可在Apex One的本地部署版本上利用，，，，，潜在攻击者必须占有对Apex One服务器的接见权限，，，，，并且已经通过其他方式获得了服务器的治理痛处。。。。。。。只管成功利用该缝隙的前提相当严格，，，，，但趋向科技忠告称，，，，，其威胁谍报系统“TrendAI”已经观察到至少一路在现实环境中利用该缝隙的尝试。。。。。。。鉴于该缝隙已被活跃利用，，，，，美国网络安全和基础设施安全局（CISA）于昨日将CVE-2026-34926纳入其在被利用的缝隙列表，，，，，并号令联国机构在6月4日之前实现设备建补。。。。。。。

https://www.bleepingcomputer.com/news/security/trend-micro-warns-of-apex-one-zero-day-exploited-in-attacks/

6. Drupal SQL注入缝隙(CVE-2026-9082)遭大规模利用

5月24日，，，，，美国网络安全和基础设施安全局（CISA）已将Microsoft Exchange Server中的一个缝隙（编号CVE-2026-9082，，，，，CVSS评分9.8）增长到其已知利用缝隙（KEV）目录钟祝。。。。。。该缝隙现实上是Drupal于5月20日颁布高度关键安全补丁所针对的SQL注入缝隙，，，，，允许未经身份验证的攻击者入侵运行PostgreSQL数据库的网站。。。。。。。缝隙利用险些在补丁颁布后立即起头，，，，，48幼时内安全公司就追踪到了数千起现实攻击。。。。。。。该缝隙存在于一个旨在算帐数据库查问并预防SQL注入的API钟祝。。。。。。该API的缺点意味着攻击者能够发送特造要求，，，，，向使用PostgreSQL的网站注入肆意SQL号令。。。。。。。凭据Drupal颁布的安全布告，，，，，此缝隙允许攻击者导致使用PostgreSQL数据库的网站遭逢肆意SQL注入攻击，，，，，可能导致信息泄露，，，，，在某些情况下还会引发权限提升、远程代码执行或其他攻击。。。。。。。更令人忧郁的是，，，，，匿名用户也能够利用此缝隙。。。。。。。5月22日更新的安全布告确认，，，，，风险评分已更新以反映目前已在现实环境中检测到攻击尝试。。。。。。。安全公司Imperva在缝隙披露后的两天内，，，，，监测到针对65个国度近6000个Drupal网站的超过15000次攻击尝试。。。。。。。近一半的攻击指标集中在游戏和金融服务机构，，，，，这可能是由于这些机构的凭证和财政数据价值较高。。。。。。。

https://securityaffairs.com/192566/uncategorized/u-s-cisa-adds-a-flaw-in-drupal-core-to-its-known-exploited-vulnerabilities-catalog.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研