Covered by FixVibecritical

幽靈內容 API 中的 SQL 注入 (CVE-2026-26980) ZXCVFIXVIBESEND ZXCVFIXVIBESEG1 Ghost 版本 3.24.0 至 6.19.0 容易受到內容 API (CVE-2026-26980) 中關鍵 SQL 注入的攻擊，從而允許未經身份驗證的資料存取。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG2 Ghost 版本 3.24.0 到 6.19.0 在內容 CVE-2026-26980 中包含嚴重的 SQL 注入漏洞。這使得未經身份驗證的攻擊者可以執行任意 SQL 命令，從而可能導致資料外洩或未經授權的修改。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG3 ## 影響 ZXCVFIXVIBESEND ZXCVFIXVIBESEG4 Ghost 版本 3.24.0 到 6.19.0 容易受到內容 ZXCVFIXVIBETOKEN4ZXCV CVE-2026-26980 嚴重 SQL 注入漏洞的影響。未經身份驗證的攻擊者可以利用此缺陷對底層資料庫 API 執行任意 SQL 命令。成功利用漏洞可能會導致敏感使用者資料外洩或未經授權修改網站內容 ZXCVFIXVIBETOKEN2ZXCV。此漏洞的 CVSS 評分為 9.4，反映了其嚴重程度 ZXCVFIXVIBETOKEN3ZXCV。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG5 ## 根本原因 ZXCVFIXVIBESEND ZXCVFIXVIBESEG6 這個問題源自於 Ghost 內容 ZXCVFIXVIBETOKEN3ZXCV CVE-2026-26980 的輸入驗證不當。具體來說，應用程式無法在將使用者提供的資料合併到 SQL 查詢 API 之前正確清理使用者提供的資料。這允許攻擊者透過注入惡意 SQL 片段 ZXCVFIXVIBETOKEN2ZXCV 來操縱查詢結構。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG7 ## 受影響的版本 ZXCVFIXVIBESEND ZXCVFIXVIBESEG8 從 3.24.0 到 6.19.0 的 Ghost 版本容易受到此問題 CVE-2026-26980API 的影響。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG9 ## 修復 ZXCVFIXVIBESEND ZXCVFIXVIBESEG10 管理員應將其 Ghost 安裝升級至版本 6.19.1 或更高版本，以解決此漏洞 CVE-2026-26980。此版本包含正確中和內容 ZXCVFIXVIBETOKEN2ZXCV 查詢 API 中使用的輸入的補丁。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG11 ## 漏洞識別 ZXCVFIXVIBESEND ZXCVFIXVIBESEG12 識別此漏洞需要根據受影響的範圍（3.24.0 至 6.19.0）API 驗證 CVE-2026-26980 軟體套件的安裝版本。運行這些版本的系統被認為有透過內容 ZXCVFIXVIBETOKEN3ZXCV ZXCVFIXVIBETOKEN2ZXCV 進行 SQL 注入的高風險。

Ghost versions 3.24.0 through 6.19.0 contain a critical SQL injection vulnerability in the Content API. This allows unauthenticated attackers to execute arbitrary SQL commands, potentially leading to data exfiltration or unauthorized modifications.

CVE-2026-26980GHSA-w52v-v783-gw97CWE-89

Impact

Ghost versions 3.24.0 through 6.19.0 are susceptible to a critical SQL injection vulnerability in the Content API [S1]. An unauthenticated attacker can exploit this flaw to execute arbitrary SQL commands against the underlying database [S2]. Successful exploitation could result in the exposure of sensitive user data or unauthorized modification of site content [S3]. This vulnerability has been assigned a CVSS score of 9.4, reflecting its critical severity [S2].

Root Cause

The issue stems from improper input validation within the Ghost Content API [S1]. Specifically, the application fails to correctly sanitize user-supplied data before incorporating it into SQL queries [S2]. This allows an attacker to manipulate the query structure by injecting malicious SQL fragments [S3].

Affected Versions

Ghost versions starting from 3.24.0 up to and including 6.19.0 are vulnerable to this issue [S1][S2].

Remediation

Administrators should upgrade their Ghost installation to version 6.19.1 or later to resolve this vulnerability [S1]. This version includes patches that properly neutralize input used in Content API queries [S3].

Vulnerability Identification

Identification of this vulnerability involves verifying the installed version of the ghost package against the affected range (3.24.0 to 6.19.0) [S1]. Systems running these versions are considered at high risk for SQL injection via the Content API [S2].