Wie gefährlich Sicherheitslücken in Content-Management-Systemen (CMS) werden können, zeigt derzeit eine kritische Schwachstelle in Ghost CMS, die von Kriminellen genutzt wird, um schädlichen JavaScript-Code auf hunderten Webseiten einzuschleusen und sogenannte ClickFix-Angriffe durchzuführen.

Schwachstelle ermöglicht Zugriff auf sensible Daten

Im Mittelpunkt steht die Sicherheitslücke CVE-2026-26980 mit einem hohen CVSS-Wert von 9,4. Die Schwachstelle befindet sich in der Content-API von Ghost CMS und ermöglicht SQL-Injection-Angriffe. Dadurch können Angreifer ohne Anmeldung auf Datenbanken zugreifen und sensible Informationen auslesen. Bereits im Februar 2026 wurde der Fehler mit Version 6.19.1 behoben. Entdeckt wurde die Lücke von Anthropic mithilfe des KI-Systems Claude.

Besonders kritisch ist, dass sich über die Schwachstelle der Admin-API-Schlüssel einer Webseite stehlen lässt. Mit diesem Schlüssel können Angreifer Inhalte direkt verändern und beliebige Änderungen an veröffentlichten Artikeln vornehmen. Genau das machten sich die Täter zunutze: Sie manipulierten zahlreiche Webseiten und ergänzten dort schädliche JavaScript-Loader am Ende von Artikeln. Die ersten Angriffe wurden am 7. Mai 2026 entdeckt.

Über 700 Webseiten bereits kompromittiert

Mehr als 700 Webseiten sollen bereits betroffen sein. Die Opfer stammen aus verschiedenen Bereichen, darunter Universitäten, Blockchain-Projekte, KI-Unternehmen, SaaS-Dienste, Medienhäuser, Sicherheitsfirmen und Fintech-Unternehmen. Da die Angriffe über eigentlich vertrauenswürdige Webseiten erfolgen, steigt die Wahrscheinlichkeit, dass Nutzer auf die Betrugsmasche hereinfallen.

Schadcode lädt weitere Malware nach

Der eingeschleuste JavaScript-Code funktioniert dabei als zweistufiger Loader. Zunächst wird weiterer Schadcode von einer externen Domain nachgeladen. Die Angreifer können dadurch flexibel entscheiden, welche Schadsoftware an einzelne Besucher ausgeliefert wird, ohne den ursprünglichen Code auf den kompromittierten Webseiten ändern zu müssen.

Zusätzlich verwenden die Täter sogenannte Cloaking-Techniken. Dabei erkennen spezielle Skripte, ob eine echte Person oder lediglich ein Sicherheitsscanner auf die Seite zugreift. Sicherheitssoftware sieht meist harmlose Inhalte, während echte Besucher die eigentliche Schadseite angezeigt bekommen. Diese Technik erschwert die Entdeckung der Angriffe erheblich.

Am Ende werden ausgewählte Opfer auf gefälschte CAPTCHA-Seiten weitergeleitet. Dort erscheint eine vermeintliche Sicherheitsprüfung mit der Aufforderung, einen bestimmten Befehl in das Windows-Ausführen-Fenster einzufügen. Dieses Vorgehen entspricht der bekannten ClickFix-Methode, bei der Nutzer selbst unbewusst Schadsoftware starten.

Der eingefügte Befehl lädt zunächst ein ZIP-Archiv herunter. Anschließend werden Batch- und PowerShell-Skripte ausgeführt, die weitere Schadsoftware aus dem Internet beziehen. In einigen Fällen wird eine DLL-Datei gestartet, in anderen Varianten kommt JavaScript zum Einsatz. Ziel ist letztlich die Installation eines Windows-Programms, das dauerhaft mit einem Kontrollserver der Angreifer kommuniziert und weitere Befehle ausführen kann.

Malware tarnt sich als legitime Software

Teilweise tarnen sich die Dateien als legitime Programme, etwa als signierter PuTTY-Client oder als Installer einer manipulierten Electron-Anwendung. Die Malware basiert dabei auf einer veränderten Version des Open-Source-Clients Grape und kann dauerhaft im Hintergrund aktiv bleiben.

Sofortige Updates erforderlich

Betreiber von Ghost-CMS-Webseiten sollten ihre Systeme dringend auf die neueste Version aktualisieren. Zusätzlich sollten sämtliche Zugangsdaten ausgetauscht, Webseiten auf Schadcode überprüft und Zugriffsprotokolle auf verdächtige Aktivitäten überprüft werden. Nutzer, die betroffene Webseiten besucht haben, sollten ebenfalls informiert werden, da möglicherweise Schadsoftware auf ihren Geräten installiert wurde.