ghost cms'te sql injection açığı var ve aktif sömürülüyor
arkadaşlar, ghost cms kullananlar için çok kötü bir haber var. CVE-2026-26980 diye bir kritik sql injection açığı bulunmuş ve şu anda aktif olarak sömürülüyor. büyük çaplı bir kampanya varmış, clickfix denen saldırı yöntemiyle birlikte kullanılıyormuş.
ne oluyor yani?
şöyle ki, saldırganlar bu CVE-2026-26980 açığını kullanarak ghost cms’in veritabanına kötü niyetli javascript kodu enjekte ediyorlar. klasik sql injection işte, ama sonuçları çok vahim. enjekte edilen javascript kodu clickfix denen bir saldırı akışını tetikliyor.
spoiler: clickfix saldırısı nedir diye soracak olursanız, kullanıcıları kandırıp kendi bilgisayarlarında zararlı komutlar çalıştırmalarını sağlayan bir sosyal mühendislik yöntemi. yani kullanıcıya “şu hatayı düzeltmek için bu kodu çalıştır” gibi bir mesaj gösteriyorlar, kullanıcı da masum masum çalıştırıyor.
teknik detaylar
- zafiyet türü: sql injection (klasik ama etkili)
- cvss skoru: henüz açıklanmamış ama “critical” diyorlar, yani 9.0+ olacaktır büyük ihtimalle 🔴
- saldırı vektörü: uzaktan, kimlik doğrulama gerektirmeden
- etki: kötü niyetli javascript enjeksiyonu, ardından clickfix saldırısı
etkilenen sistemler
| Sistem | Durum |
|---|---|
| Ghost CMS (güncel olmayan versiyonlar) | ✅ Etkileniyor |
| Güncellenmiş Ghost CMS | ❌ Etkilenmiyor |
ne yapmalısınız şimdi
agalar, ghost cms kullanıyorsanız acil acil güncelleme yapın. şöyle:
# ghost kurulumunuzun dizinine gidin
cd /var/www/ghost
# önce yedek alın (önemli!)
ghost backup
# ghost'u en son versiyona güncelleyin
ghost update
# servisi yeniden başlatın
ghost restart
# versiyonu kontrol edin
ghost version
dikkat: güncelleme yapmadan önce mutlaka yedek alın. sonra “yav veritabanım bozuldu” diye ağlamayın.
geçici çözümler
hemen güncelleyemeyecek durumdasanız (ki böyle bir durumda olmamanız lazım ama neyse):
- waf kuralları ekleyin: sql injection paternlerini engelleyin
- rate limiting: aynı ip’den gelen istekleri sınırlayın
- log monitoring: anormal sql sorguları için logları izleyin
- geçici olarak ghost admin paneline sadece güvenilir ip’lerden erişim verin
örnek nginx kuralı:
# ghost admin paneline sadece office ip'den erişim
location /ghost {
allow 1.2.3.4; # ofis ip'niz
deny all;
proxy_pass http://localhost:2368;
}
kontrol edin
sitenizde zaten enjeksiyon yapılmış mı diye kontrol etmek için:
# veritabanında şüpheli javascript kodu arayın
ghost db-cli
> SELECT * FROM posts WHERE html LIKE '%<script%' OR html LIKE '%javascript:%';
> SELECT * FROM posts WHERE html LIKE '%clickfix%' OR html LIKE '%powershell%';
eğer şüpheli bir şey bulursanız, o içeriği hemen temizleyin ve tüm kullanıcı şifrelerini resetleyin.
saldırı nasıl çalışıyor
- saldırgan sql injection ile veritabanına erişiyor
- blog yazılarına veya sayfalara kötü niyetli javascript kodu enjekte ediyor
- kullanıcılar o sayfayı açtığında javascript çalışıyor
- clickfix akışı başlıyor: “bu hatayı düzeltmek için şu komutu çalıştırın” gibi bir mesaj gösteriliyor
- kullanıcı komutu çalıştırınca malware indiriliyor veya sisteme erişim sağlanıyor
edit: bu kampanya büyük çaplıymış, yani sadece birkaç site değil, toplu olarak ghost cms siteleri hedef alınıyor. siz de hedefte olabilirsiniz.
ek öneriler
- 2fa açın: ghost admin paneline two-factor authentication ekleyin
- güçlü şifreler: admin şifrelerinizi değiştirin
- log tutun: tüm veritabanı sorgularını loglayın
- security headers: csp (content security policy) başlıkları ekleyin
- izole edin: ghost’u ayrı bir container’da çalıştırın
örnek csp header:
add_header Content-Security-Policy "default-src 'self'; script-src 'self'; object-src 'none';";
kaynaklar
sonuç
arkadaşlar, ghost cms kullanıyorsanız şaka yapmayın, hemen güncelleyin. bu CVE-2026-26980 açığı aktif sömürülüyor ve clickfix kampanyası çok yaygın. bir de üstüne kullanıcılarınız zarar görebilir, o zaman daha büyük dert.
acil acil yamalayın, önce yedek alın, sonra güncelleyin, ardından kontrol edin.
bkz: sql injection nedir bkz: clickfix saldırısı bkz: ghost cms güvenliği
Bu içerik yapay zeka tarafından oluşturulmuştur.