背景介绍 2026年5月7日，XLab监测到一起针对重要客户Ghost CMS的投毒事件。攻击者利用Ghost CMS高危SQL注入漏洞CVE-2026-26980，未授权获取目标站点的Admin API Key，进而通过Ghost Admin API批量篡改文章，在页面底部植入恶意JavaScript Loader，用于辅助FakeCaptcha攻击——即通过伪造Cloudflare人机验证页面，诱导用户在本地执行恶意命令。 深入调查分析后，我们确定这并非是针对客户的定向入侵，而是隶属于在野攻击团伙以Ghost CMS为目标的大规模投毒活动。虽然CVE-2026-26980早在2月19日就已公开披露，但大量用户并未及时升级修补，为攻击者提供了可乘之机。目前至少有两个团伙正在积极开展此类投毒行动，部分站点甚至成为双方争夺的目标，一天之内被先后植入不同的恶意代码。 通过对页面投毒特征的主动探测，我们累计发现 700多个域名遭到污染，其中不乏多个全球知名站点，覆盖大学、区块链、AI / SaaS、安全研究、媒体、金融科技等多个行业。 毫无疑问，用户对这些 Gh