ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานว่าผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ใน Ghost CMS ที่ช่องโหว่หมายเลข CVE-2026-26980 ซึ่งเป็นช่องโหว่ประเภท SQL Injection ในส่วน Content API อาจทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถอ่านข้อมูลจากฐานข้อมูลได้ และมีรายงานว่าเว็บไซต์มากกว่า 700 แห่ง ถูกใช้เป็นส่วนหนึ่งของการโจมตีลักษณะดังกล่าวแล้ว[1]
1. รายละเอียดช่องโหว่[2]
CVE-2026-26980 (คะแนน CVSS v3.1: 9.4) ช่องโหว่ประเภท SQL Injection ใน Ghost CMS เป็นระบบจัดการเนื้อหา หรือ Content Management System ที่พัฒนาด้วย Node.js
ส่งผลกระทบต่อ Ghost CMS เวอร์ชัน 3.24.0 ถึง 6.19.0 และทำให้ผู้โจมตีโดยไม่ต้องยืนยันตัวตน สามารถอ่านข้อมูลจากฐานข้อมูลของเว็บไซต์ได้ หากถูกใช้โจมตีสำเร็จ
สามารถเข้าถึงข้อมูลสำคัญ เช่น Admin API Key และนำไปใช้แก้ไขเนื้อหาบนเว็บไซต์ หรือฝังโค้ด JavaScript อันตราย เพื่อหลอกผู้เข้าชมเว็บไซต์ไปยังหน้า CAPTCHA ปลอม หรือการโจมตีในรูปแบบ ClickFix ได้
2. เวอร์ชันและผลิตภัณฑ์ที่ได้รับผลกระทบ
2.1 Ghost CMS เวอร์ชัน 3.24.0 ถึง 6.19.0
2.2 เว็บไซต์ที่ใช้งาน Ghost CMS และยังไม่ได้อัปเดตเป็นเวอร์ชัน 6.19.1 หรือใหม่กว่า
2.3 เว็บไซต์ที่มีบทความหรือหน้าเว็บถูกแก้ไขผิดปกติ หรือพบ JavaScript ที่ไม่ทราบที่มา
2.4 ผู้ดูแลเว็บไซต์ที่ใช้งาน Ghost CMS และเปิดให้เข้าถึงจากอินเทอร์เน็ต
3. ผลกระทบที่อาจเกิดขึ้น
3.1 ผู้โจมตีอาจอ่านข้อมูลจากฐานข้อมูลของเว็บไซต์ได้โดยไม่ต้องยืนยันตัวตน
3.2 ผู้โจมตีอาจเข้าถึง Admin API Key และใช้แก้ไขบทความหรือเนื้อหาบนเว็บไซต์
3.3 เว็บไซต์อาจถูกฝัง JavaScript อันตราย เพื่อเปลี่ยนเส้นทางผู้เข้าชมหรือแสดงหน้า CAPTCHA ปลอม
3.4 ผู้เข้าชมเว็บไซต์อาจถูกหลอกให้ทำตามขั้นตอน ClickFix ซึ่งอาจนำไปสู่การติดตั้งมัลแวร์บนเครื่อง
3.5 เว็บไซต์ของหน่วยงาน อาจเสียความน่าเชื่อถือ ถูกใช้เป็นฐานโจมตี หรือถูกใช้กระจายเนื้อหาอันตรายต่อผู้ใช้งาน
4. แนวทางการแก้ไข
4.1 ตรวจสอบว่าเว็บไซต์มีการใช้งาน Ghost CMS หรือไม่
4.2 หากใช้งาน Ghost CMS เวอร์ชัน 3.24.0 ถึง 6.19.0 ให้อัปเดตเป็นเวอร์ชัน 6.19.1 หรือใหม่กว่า ทันที
4.3 หมุนเวียนหรือเปลี่ยน Admin API Key และ credentials ที่เกี่ยวข้องทั้งหมด
4.4 ตรวจสอบหน้าเว็บ และ template ของเว็บไซต์ว่ามี JavaScript หรือโค้ดที่ไม่ทราบที่มาถูกฝังอยู่หรือไม่
4.5 ตรวจสอบ access logs, admin logs และ API activity เพื่อหาการเรียกใช้งานที่ผิดปกติ
4.6 ตรวจสอบไฟล์หรือเนื้อหาที่ถูกแก้ไขโดยไม่ได้รับอนุญาต
5. มาตรการชั่วคราวหากยังไม่สามารถอัปเดตได้ทันที
5.1 จำกัดการเข้าถึงส่วนผู้ดูแลระบบและ API เฉพาะเครือข่ายหรือผู้ดูแลระบบที่จำเป็น
5.2 สำรองข้อมูลเว็บไซต์และฐานข้อมูลก่อนดำเนินการแก้ไขหรืออัปเดต
5.3 เฝ้าระวัง JavaScript ที่ถูกฝังท้ายบทความหรือหน้าเว็บโดยไม่ทราบที่มา
5.4 ตรวจสอบโดเมนหรือสคริปต์ภายนอกที่เว็บไซต์เรียกใช้งานผิดปกติ
5.5 แจ้งเตือนผู้ใช้งานหรือผู้เข้าชมเว็บไซต์ หากพบว่าช่วงเวลาก่อนหน้าเว็บไซต์ถูกฝังโค้ดอันตราย
แหล่งอ้างอิง