Anthropic ließ Claude Opus 4.6 neunzig Minuten auf den Quellcode des Ghost-CMS los. Das Ergebnis: eine kritische Blind-SQL-Injection in einem System, das in seiner gesamten Geschichte noch nie eine unauthentifizierte Critical-Lücke hatte. Drei Monate später kapern Angreifer damit 700 Websites, von Harvard bis DuckDuckGo.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Hand aufs Herz: Wann haben Sie Ihre CMS-Installation zuletzt auf Patchstand 6.19.1 überprüft? Für Betreiber des Ghost-CMS ist das die einzig richtige Frage, seit der Ghost-CMS-Hack über CVE-2026-26980 in eine Massenexploit-Welle gekippt ist.
Das Wichtigste in Kürze
- CVE-2026-26980: Blind SQL Injection im Content API, CVSS-Score 9.4
- Anthropic-Forscher Nicholas Carlini ließ Claude Opus 4.6 in 90 Minuten den Bug finden
- Patch erschien am 19. Februar 2026, Massenexploit startete laut Qianxin XLab am 7. Mai
- Mehr als 700 kompromittierte Domains, darunter Harvard, Oxford, Auburn und DuckDuckGo
Wie Claude die Lücke in 90 Minuten fand
Nicholas Carlini von Anthropic suchte für eine öffentliche Demo ein Projekt, das keine offensichtlichen Schwachstellen versprach. Ghost stand auf der Liste, weil das CMS in seiner gesamten Geschichte noch keine unauthentifizierte Critical-Lücke verzeichnet hatte. Anderthalb Stunden später hatte Claude Opus 4.6 eine Blind-SQL-Injection im Content API gefunden, die den Admin-API-Key direkt aus der Datenbank ziehen konnte. Anthropic meldete den Bug am 16. Februar an Ghost, drei Tage später war der Patch in Version 6.19.1 ausgerollt.
Der Mechanismus ist klassisch: Im slug-filter-order-Code des Ghost-Content-API wurden vom Nutzer gelieferte Werte über String-Konkatenation in SQL-CASE-Statements eingebaut, statt sie als Parameter zu binden. Ein crafted Filter mit Payloads in filter=slug:[...] oder order=slug:[...] erlaubt unauthentifizierten Lese-Zugriff auf jede Tabelle der Ghost-Datenbank, inklusive Admin-Credentials, bcrypt-Hashes, Session-Secrets und eben des Admin-API-Keys.
Vom Patch zur Massenexploit-Welle
Der Vorlauf ist beunruhigend. Die Schadkampagne setzt eine DLL ein, deren Compile-Timestamp auf den 16. Februar 2026 datiert. Das ist exakt der Tag, an dem Anthropic die Lücke an Ghost meldete. Wer ein Patch-Fenster von drei Tagen verpasst hat, war damit potenziell drei Monate lang exponiert. Qianxin XLab dokumentierte ab 7. Mai eine Welle, die mittlerweile über 700 Domains erfasst hat. Die Liste reicht von Harvard- und Oxford-Universitätsportalen über DuckDuckGo bis zu Tech-Blogs und KI-/Krypto-Sites.
Die Angriffskette läuft in vier Stufen. SQL-Injection holt den Admin-API-Key, die Ghost-Admin-API rewritet Artikel und setzt einen JavaScript-Loader an deren Ende, ein Cloaking-Script filtert Bots und Sicherheitsforscher aus. Echte Besucher landen auf einer gefälschten Cloudflare-CAPTCHA-Seite, die zu einem ClickFix-Manöver verleitet: WIN+R drücken, Befehl einfügen, Enter, fertig ist die PowerShell-Infektion mit Data-Stealer auf dem Besucherrechner.
Ghost ist der erste Massenexploit, bei dem KI die Schwachstelle gefunden hat und Angreifer schneller waren als die Admins. Das wird kein Einzelfall bleiben.
— Michael Dobler, Herausgeber Dr. Web
Was Ghost-Betreiber und CMS-Verantwortliche jetzt tun müssen
Die Sofortmaßnahmen sind klar: Update auf Ghost 6.19.1 oder neuer, danach Admin-API-Key rotieren, anschließend alle Artikel auf injizierten JavaScript-Code prüfen, besonders im Footer-Bereich. Server-Logs auf untypische Content-API-Aufrufe mit filter=slug: oder order=slug: in Kombination mit SQL-Schlüsselwörtern wie CASE, WHEN oder randomblob durchsuchen.
Der größere Punkt liegt in der Strukturfrage. KI-gestützte Schwachstellensuche skaliert. Anthropic hat parallel zum Ghost-Fund das Project Glasswing publik gemacht, das tausende Lücken in Open-Source-Software identifiziert hat. Wer als CMS-Betreiber heute keine 12- oder 24-Stunden-Patch-Pipeline hat, läuft der nächsten Welle hinterher. Für WordPress-Admins lohnt parallel der Blick auf den aktuellen Plugin-CVE und auf den WordPress Hosting Vergleich 2026, weil das Patchmanagement beim Hoster anfängt und nicht im eigenen Cronjob. Bei der KI-Modellauswahl hilft der LLMs-Ratgeber einzuschätzen, welche Modelle für Security-Audits taugen.
Mehr #Cybersecurity News
Mehr zu Ghost CMS
Mehr Newshunger?
