Критическая уязвимость в Ghost CMS: SQL-инъекция позволяет похитить данные сайта

В системе управления контентом Ghost (популярная платформа для ведения блогов и публикаций) была обнаружена критическая уязвимость. Она связана с непринятием мер по защите структуры запроса SQL. Проще говоря, злоумышленник мог внедрить вредоносный код в запросы к базе данных. Эта проблема получила идентификатор CVE-2026-26980 и попала в российский Банк данных угроз безопасности информации (BDU) под номером BDU:2026-08140.

Детали уязвимости

Ghost - это прикладное программное обеспечение, которое используют сотни тысяч сайтов по всему миру. Уязвимость затрагивает все версии продукта до 6.19.0 включительно. Производитель - Ghost Foundation - уже подтвердил проблему и выпустил исправление в версии 6.19.1. Специалистам по безопасности настоятельно рекомендуется обновить свои системы немедленно.

Тип ошибки классифицируется как CWE-89 (непринятие мер по защите структуры запроса SQL). Это один из самых распространённых и опасных классов уязвимостей в веб-приложениях. По сути, программа неправильно обрабатывает пользовательский ввод, позволяя атакующему подменить или дополнить команды, которые отправляются к базе данных. В результате нарушитель может получить полный контроль над хранящейся информацией.

Оценка критичности по системе CVSS версии 3.1 составила 9,4 балла из десяти возможных. Это категория "критический уровень опасности". Базовая оценка по устаревшей, но всё ещё используемой версии CVSS 2.0 равна 9,7. Обе оценки говорят о том, что уязвимость крайне опасна. Вектор атаки выглядит так: доступ возможен удалённо, для эксплуатации не требуется аутентификация и взаимодействие с пользователем. Иными словами, любой злоумышленник, имеющий доступ к сети, может отправить специально сформированный запрос на уязвимый сайт и выполнить свои команды.

Наличие готового эксплойта (программы, автоматизирующей атаку) уже подтверждено. Это означает, что уязвимость активно интересует не только исследователей, но и киберпреступников. По данным независимых источников, в том числе отчёта китайской компании Qianxin, атаки с использованием этой уязвимости уже фиксируются. Злоумышленники массово сканируют интернет в поисках незащищённых сайтов под управлением Ghost. Цель - внедрение вредоносного кода, который позволяет перехватывать трафик, похищать учётные данные посетителей или даже полностью захватывать контроль над сервером.

Чем опасна SQL-инъекция в контексте Ghost? Эта система управления контентом хранит в базе данных не только статьи и настройки, но и личные данные пользователей: логины, хэши паролей, сессионные ключи, адреса электронной почты. Если атакующий получает доступ к базе, он может выгрузить всю информацию. Кроме того, Ghost часто используется для коммерческих проектов, интернет-магазинов или новостных порталов. Взлом такого сайта грозит репутационными потерями, утечкой клиентских данных и юридическими последствиями.

Технически уязвимость кроется в том, что Ghost некорректно обрабатывает определённые параметры запросов. Разработчики уже выпустили патч в коммите 30868d6, который закрывает эту дыру. Исправление доступно в релизе версии 6.19.1. Рекомендуется как можно скорее обновить систему. Если по каким-то причинам это невозможно, стоит временно ограничить доступ к сайту через веб-брандмауэр и усилить мониторинг журналов событий. Однако такие меры лишь временные, и полное обновление остаётся единственным надёжным способом защиты.

Для владельцев сайтов на Ghost эта новость - тревожный сигнал. Критические уязвимости в популярных системах управления контентом случаются нечасто, но когда они происходят, последствия могут быть катастрофическими. Ghost позиционируется как безопасная и современная платформа, поэтому данная проблема вызывает особое беспокойство. Важно помнить, что своевременное обновление программного обеспечения - основа кибергигиены.

Специалистам по информационной безопасности стоит проверить, не используют ли их организации или клиенты уязвимую версию Ghost. Особенно это актуально для тех, кто размещает контент на собственном хостинге. Облачные версии (Ghost(Pro)) обновляются автоматически, но пользователи самостоятельных установок должны позаботиться о патче самостоятельно. Ссылки на все необходимые ресурсы: оригинальное уведомление в репозитории GitHub, коммит с исправлением и страницу релиза - указаны в базе данных ФСТЭК.

Подводя итог, можно сказать, что уязвимость SQL-инъекции в Ghost - серьёзная угроза, которая уже начала эксплуатироваться в реальных атаках. Её критический рейтинг, наличие готового эксплойта и простота удалённого использования делают её приоритетной для устранения. Нельзя откладывать обновление на потом: каждая минута промедления увеличивает риск компрометации сайта и утечки данных. Следите за обновлениями от вендора и своевременно применяйте патчи - это единственный способ оставаться в безопасности.