กลุ่มภัยคุกคามทางไซเบอร์กำลังใช้ประโยชน์จากช่องโหว่วิกฤติระดับสูง (CVSS 9.4) ในระบบจัดการเนื้อหา Ghost CMS (รหัส CVE-2026-26980) เพื่อโจมตีเว็บไซต์จำนวนมากกว่า 700 แห่ง โดยช่องโหว่ดังกล่าวเป็นปัญหา SQL Injection ที่เกิดขึ้นใน Content API ของ Ghost ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถอ่านข้อมูลที่ละเอียดอ่อนบนเซิร์ฟเวอร์ได้อย่างอิสระ

จากการวิเคราะห์ของทีมวิจัย QiAnXin XLab พบว่าภัยคุกคามนี้ไม่ได้หยุดแค่การดึงข้อมูลออกไปเท่านั้น แต่ผู้โจมตียังใช้ช่องโหว่ดังกล่าวเป็นช่องทางในการแทรกซ้อนโค้ด JavaScript ที่เป็นอันตรายลงไปในเว็บไซต์เป้าหมาย จากนั้นจึงใช้เว็บไซต์เหล่านั้นเป็นแพลตฟอร์มในการขับเคลื่อนแคมเปญโจมตีแบบ ClickFix ซึ่งเป็นกลยุทธ์หลอกลวงให้ผู้ใช้งานดาวน์โหลดและรันสคริปต์หรือโปรแกรมปลอมที่อ้างว่าเป็นการแก้ไขปัญหาต่างๆ แต่แท้จริงแล้วคือมัลแวร์

เหตุการณ์ครั้งนี้สะท้อนให้เห็นถึงความเสี่ยงร้ายแรงที่เกิดขึ้นจากช่องโหว่ SQL Injection ที่สามารถนำไปสู่การยึดครองระบบได้จริง ทำให้ผู้ดูแลเว็บไซต์ที่ใช้ Ghost CMS จำเป็นต้องรีบอัปเดตระบบและตรวจสอบแพลตฟอร์มของตนทันที เพื่อป้องกันไม่ให้เว็บไซต์กลายเป็นเครื่องมือในมือแฮกเกอร์สำหรับโจมตีผู้ใช้งานในลำดับต่อไป

คำศัพท์เทคนิคที่น่าสนใจ

• SQL Injection – ช่องโหว่ด้านความปลอดภัยที่เกิดจากการแทรกชุดคำสั่ง SQL ที่เป็นอันตรายเข้าไปใน query เพื่อโจมตีฐานข้อมูล
• ClickFix – กลยุทธ์การโจมตีแบบ Social Engineering ที่หลอกลวงให้เหยื่อคิดว่ากำลังดำเนินการแก้ไขปัญหาหรืออัปเดตระบบ แต่แท้จริงคือการติดตั้งมัลแวร์
• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อมาตรฐานสากลที่ใช้ระบุช่องโหว่ด้านความปลอดภัยที่รู้จักแล้วอย่างเป็นระบบ
• JavaScript Injection – การโจมตีโดยการแทรกโค้ด JavaScript ที่เป็นอันตรายลงในหน้าเว็บเพื่อควบคุมพฤติกรรมของเบราว์เซอร์หรือขโมยข้อมูลผู้ใช้

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/ghost-cms-cve-2026-26980-exploited-to.html