กลุ่มภัยคุกคามทางไซเบอร์กำลังใช้ประโยชน์จากช่องโหว่วิกฤตระดับสูงในระบบจัดการเนื้อหา Ghost CMS (รหัส CVE-2026-26980) ในการบุกเจาะระบบและฝังโค้ด JavaScript ที่เป็นอันตรายลงไปในเว็บไซต์ โดยมีเป้าหมายเพื่อหาเงินจากแคมเปญโจมตีแบบ ClickFix ซึ่งจนถึงปัจจุบันมีรายงานว่ามีเว็บไซต์ถูกยึดความคุมแล้วมากกว่า 700 แห่ง

ตามรายงานจากทีมวิจัย QiAnXin XLab ระบุว่าช่องโหว่ดังกล่าวมีคะแนนความรุนแรงสูงถึง 9.4 จาก 10 (CVSS) เกิดจากปัญหา SQL Injection ในส่วนของ Content API ของ Ghost ซึ่งเป็นช่องโหว่ที่อันตรายมากเนื่องจากผู้โจมตีสามารถใช้มันได้โดยไม่ต้องทำการยืนยันตัวตน (Unauthenticated) ทำให้สามารถอ่าน ดึงข้อมูล หรือแก้ไขข้อมูลในฐานข้อมูลบนเซิร์ฟเวอร์ได้ตามใจชอบ

การนำช่องโหว่นี้ไปใช้เชื่อมโยงกับวิธีการโจมตีแบบ ClickFix ถือเป็นภัยคุกคามที่ต้องระวังเป็นพิเศษ เนื่องจากเมื่อผู้ใช้งานเข้ามายังเว็บไซต์ที่ถูกแฮกแล้ว โค้ด JavaScript ที่ถูกฝังไว้จะแสดงข้อความหลอกลวงให้ผู้ใช้คัดลอกและวางคำสั่งลงในเทอร์มินัลหรือ PowerShell ของตัวเองเพื่อ “แก้ไขปัญหา” ซึ่งในความเป็นจริงแล้วคำสั่งเหล่านั้นจะทำการดาวน์โหลดมัลแวร์หรือสคริปต์อันตรายเพิ่มเติมเข้าสู่เครื่องคอมพิวเตอร์ของเหยื่อทันที

คำศัพท์เทคนิคที่น่าสนใจ

• CVE-2026-26980 – รหัสอ้างอิงช่องโหว่ความปลอดภัยที่เกิดขึ้นในระบบ Ghost CMS ซึ่งเป็นมาตรฐานการตั้งชื่อช่องโหว่ระหว่างประเทศ
• SQL Injection – ช่องโหว่ด้านความปลอดภัยที่เกิดจากการแทรกชุดคำสั่ง SQL ที่เป็นอันตรายเข้าไปใน query ของระบบ เพื่อโจมตีหรือแอบอ้างสิทธิ์เข้าถึงฐานข้อมูล
• ClickFix – กลยุทธ์การโจมตีแบบ Social Engineering ที่หลอกลวงให้เหยื่อคัดลอกและวางคำสั่ง (คอมมานด์ไลน์) ที่มีมัลแวร์แฝงอยู่ลงในเครื่องคอมพิวเตอร์ของตนเองภายใต้ข้ออ้างว่าจะช่วยแก้ไขปัญหาต่างๆ
• Content API – อินเทอร์เฟซสำหรับรับส่งข้อมูลเนื้อหาของระบบ CMS ที่ทำงานผ่านเว็บ ซึ่งในกรณีนี้คือจุดที่เกิดช่องโหว่ขึ้น

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/ghost-cms-cve-2026-26980-exploited-to.html