ghost cms sql injection

  1. Сергей Попов

    Статья ClickFix атака через SQL-инъекцию CMS: разбор кампании Ghost CMS (CVE-2026-26980) и техники обнаружения

    Один HTTP-запрос к публичному Content API - и атакующий забирает Admin API Key без единого credential. Не надо ничего брутить, не надо фишить админа, не надо даже знать, что сайт на Ghost. Просто crafted запрос к эндпоинту, который торчит наружу by design. За три месяца после выхода патча более...