ghost cms'te kritik açık, 700'den fazla site hacklendi
arkadaşlar, ghost cms kullanan varsa hemen kulak verin. CVE-2026-26980 diye bir zafiyet var ortada ve aktif olarak sömürülüyor. şimdiye kadar 700’den fazla site ele geçirilmiş, kötü niyetli javascript kodları enjekte edilmiş.
qianxin xlab’ın tespitine göre saldırganlar bu açığı kullanarak clickfix saldırıları düzenliyor. yani sitelerinize zararlı kod yerleştirip ziyaretçilerinizi kandırmaya çalışıyorlar.
ne bu açık, nasıl çalışıyor
CVE-2026-26980 açığı ghost cms’in content api’sinde bulunan bir sql injection zafiyeti. cvss skoru 9.4 yani kritik seviyede, boş durmayın.
şöyle ki: saldırgan kimlik doğrulamasına bile gerek duymadan veritabanınızdan istediği veriyi okuyabiliyor. sonra da zararlı javascript kodları enjekte ediyor sitenize.
en kötü yanı: saldırıya uğrayan 700+ sitenin çoğu hala enfekte durumda, temizlenmemiş bile.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| Ghost CMS (yamansız versiyonlar) | ✅ Etkileniyor |
| Ghost CMS (yamalı versiyonlar) | ❌ Etkilenmiyor |
| Diğer CMS’ler | ❌ Etkilenmiyor |
clickfix saldırısı ne ola ki
clickfix saldırısı denen şey şu: kullanıcıya sahte bir hata mesajı gösteriyorlar, “bu sorunu düzeltmek için şu düğmeye tıklayın” falan diyorlar. kullanıcı tıklayınca da zararlı kod çalışıyor. sosyal mühendisliğin klasik örneği yani.
spoiler: bu saldırılar genelde fidye yazılımı indirtmek, kimlik bilgisi çalmak veya daha fazla zararlı yazılım yaymak için kullanılıyor.
hemen yapmanız gerekenler
arkadaşlar ghost cms kullanıyorsanız şunu yapın:
# 1. ghost versiyonunuzu kontrol edin
ghost version
# 2. en son sürüme güncelleyin (acil!)
ghost update
# 3. güncelleme sonrası ghost'u yeniden başlatın
ghost restart
# 4. logları kontrol edin, şüpheli aktivite var mı diye
ghost log
siteniz hacklenmiş mi kontrol edin
# veritabanınızda şüpheli kayıtlar var mı bakın
# özellikle posts ve settings tablolarına dikkat
# javascript dosyalarınızı tarayan basit bir komut:
grep -r "eval(" /var/www/ghost/content/
grep -r "atob(" /var/www/ghost/content/
# şüpheli harici script yüklemeleri var mı
grep -r "<script src=" /var/www/ghost/content/themes/
siteniz hacklendiyse ne yapmalı
- hemen ghost’u offline alın - maintenance mode’a çekin
- tam yedek alın - kirli bile olsa, forensic analiz için lazım olur
- temiz bir ghost kurulumu yapın - sıfırdan başlayın
- içeriklerinizi gözden geçirerek geri yükleyin - otomatik import yapmayın, manuel kontrol edin
- tüm şifreleri değiştirin - admin, database, api key’ler her şey
- waf kurun - cloudflare, sucuri ne varsa önünüze koyun
geçici çözümler
yamayı hemen uygulayamıyorsanız (ki uygulamalısınız ama):
# content api'yi geçici olarak devre dışı bırakın
# config.production.json dosyanızda:
{
"api": {
"content": {
"enabled": false
}
}
}
ama dikkat: bu content api’yi tamamen kapatır, bazı özellikler çalışmayabilir. kalıcı çözüm değil, sadece geçici.
waf kuralları
eğer nginx kullanıyorsanız:
# sql injection denemelerini blokla
location /ghost/api/content/ {
if ($args ~* "union|select|insert|update|delete|drop") {
return 403;
}
}
saldırı göstergeleri (ioc)
sitenizde bunları görüyorsanız hacklenmişsiniz:
- beklenmedik javascript dosyaları theme klasöründe
- veritabanında garip
<script>tagları - admin panelinde tanımadığınız kullanıcılar
- anormal yüksek cpu/network kullanımı
- google safe browsing uyarıları
edit: qianxin xlab’ın raporuna göre saldırganlar genelde rusya ve çin ip’lerinden geliyor, ama vpn kullandıkları için kesin bir şey söylemek zor.
neden bu kadar kritik
agalar şunu anlatayım:
- kimlik doğrulama yok - saldırgan login bile olmadan saldırıyor
- sql injection - veritabanınız saldırganın avucunda
- aktif sömürü - teorik değil, gerçekten kullanılıyor
- 700+ site çoktan hacklendi - siz yamalamadan önce saldırgan gelmiş olabilir
cvss 9.4 boşuna değil yani.
kaynaklar
- Orijinal haber - The Hacker News
- CVE-2026-26980
- QiAnXin XLab raporu
son söz
arkadaşlar ghost cms güzel bir platform ama bu açık gerçekten ciddi. hemen yamalayın, test ortamı falan beklemeyin bu sefer. 700 site çoktan hacklendi, 701. siz olmayın.
yedek aldınız mı? aldıysanız güncelleme yapın. almadıysanız önce yedek alın sonra güncelleme yapın. sonra “veritabanım uçtu” diye ağlamayın.
bkz: sql injection, clickfix saldırıları, ghost cms güvenliği
Bu içerik yapay zeka tarafından oluşturulmuştur.