ブログ作成ツールGhostにキャッシュ汚染で乗っ取りの脆弱性、CVE-2026-53943、v6.37.0へ更新を
ブログやニュースレターを配信できる人気ツール『Ghost』に、サイトの表示を外部から汚染して運営者のアカウントを乗っ取られかねない脆弱性が見つかりました。CVE-2026-53943、深刻度はCVSS9.6。認証なしで特定のヘッダーを送ると、汚染された表示が他の閲覧者にも配られ、公開サイトと管理画面が同じドメインだとスタッフ乗っ取りに至る恐れがあります。4.0.0〜6.36系が対象で、6.37.0へ更新を。
堀川 慎
Backend Engineer / AWS / Django / Go
ブログやニュースレターを配信できる人気ツール『Ghost』に、サイトの表示を外部から汚染して運営者のアカウントを乗っ取られかねない脆弱性が見つかりました。CVE-2026-53943、深刻度はCVSS9.6。認証なしで特定のヘッダーを送ると、汚染された表示が他の閲覧者にも配られ、公開サイトと管理画面が同じドメインだとスタッフ乗っ取りに至る恐れがあります。4.0.0〜6.36系が対象で、6.37.0へ更新を。
ブログやニュースレターを作って配信できる人気の「Ghost(ゴースト)」に、サイトの表示を外部から汚染して運営者のアカウントを乗っ取られかねない脆弱性(プログラムの欠陥)が見つかりました。CVE-2026-53943、深刻度は10点満点中9.6(緊急)です。
対象はバージョン4.0.0から6.36系まで。GitHubが報告し、2026年6月24日に公開されました。修正は6.37.0に含まれています。攻撃者が認証なしで特定のヘッダー(通信に付ける情報)を送ると、汚染された表示が他の閲覧者にも配られる恐れがあり、とくに公開サイトと管理画面が同じドメインで動いている場合は、編集者・スタッフのアカウント乗っ取りにつながり得ます。
Ghostとはどんなサービスか
Ghostは、記事の作成・公開・会員管理・有料購読・メールマガジン配信までをまとめて行える、オープンソースの出版/ブログ作成ツール(CMS)です。WordPressと同じく自分のサーバーで運用でき、プロの書き手や報道メディアに好まれています。公式サイトによると、Ghostで運営する媒体の年間売上は合計1億ドルを超え、404 Media、Platformer、Y Combinatorなども利用しています。
アクセスが多いサイトでは、表示を速くするためにキャッシュ(一度作った表示を一時的に保存して使い回すしくみ)を前段に置くのが一般的です。今回の欠陥は、このキャッシュと組み合わさったときに危険性が跳ね上がる、いわゆる「キャッシュ汚染(キャッシュポイズニング)」と呼ばれる種類のものでした。
誰が狙い、何をされ、どうなるのか
狙われるのはGhostでサイトを運営していて、表示を速くするための共有キャッシュを前段に置き、なおかつ公開サイトと管理画面を同じドメインで動かしている運営者です。これは特別な構成ではなく、よくある運用形態の組み合わせで成立してしまいます。攻撃に運営者側のログインは不要で、外部の第三者が仕掛けられます。
攻撃者がすることは、「x-ghost-preview」という特定のヘッダーを付けたリクエストを送り、本来とは違う中身の表示を作らせて、それを共有キャッシュに覚え込ませることです。いったんキャッシュが汚染されると、その後にアクセスしてきた他の閲覧者へ、汚染された表示がそのまま配られてしまいます。
最も危ないのは、公開サイトと管理画面が同じドメインの場合です。汚染された応答を通じて、サイトを編集できる編集者・スタッフのアカウントが乗っ取られる恐れがあります。乗っ取られれば、記事の改ざんや偽情報の掲載、会員情報へのアクセス、不正なアカウントの追加など、サイト全体の信用を揺るがす被害につながります。読者にとっては、信頼して見ているサイトが知らぬ間に書き換えられているという事態になりかねません。
なお、公開サイトと管理画面を別々のドメインで運用していれば、この乗っ取りのリスクは解消されるとされています。実際に攻撃へ使われ始めた脆弱性は米政府機関CISAの「実際に攻撃されている脆弱性リスト」に載ることがあり、日本語で追える一覧はCISA KEV ダッシュボード(日本語版)にまとめています。
脆弱性の中身
キャッシュは「同じURLには同じ中身を返す」前提で動きます。その前提を、外部から付けられるヘッダーで崩せてしまうのが今回の問題です。
CVE-2026-53943:プレビュー用ヘッダーでキャッシュを汚染、乗っ取りへ(CVSS 9.6)
公開情報によると、Ghostは認証なしで送られた「x-ghost-preview」ヘッダーによって、公開サイト側の応答内容を変えてしまいました。Ghostの前に共有キャッシュがあると、この書き換えられた応答がキャッシュに保存され、他の訪問者へも配られてしまいます。公開サイトと管理画面が同じドメインを共有している環境では、この汚染を通じてスタッフのアカウント乗っ取りにつながり得る、と説明されています。
修正版の6.37.0では、このヘッダーの扱いが見直されました。CMSは外部から取り込むテーマやプラグインも多く、サイトを構成する部品全体の点検はOSS サプライチェーン スキャナーの考え方とあわせて見直す価値があります。
自分が対象かどうかの早見表
影響を受けるのは4.0.0〜6.36系で、6.37.0で修正済みです。とくに「共有キャッシュあり」かつ「公開サイトと管理画面が同一ドメイン」の組み合わせが最も危険です。管理画面のバージョン表示で確認できます。
| バージョン | 公開サイトと管理画面 のドメイン | やること |
|---|---|---|
| 4.0.0 〜 6.36系 | 同じドメイン (最も危険) | 最優先で 6.37.0へ更新 |
| 4.0.0 〜 6.36系 | 別ドメイン | 乗っ取りリスクは低いが 6.37.0へ更新 |
| 6.37.0 以降 | ― | 対応不要 |
公開サイトと管理画面を別ドメインで分けていれば乗っ取りのリスクは下がりますが、汚染表示が他の閲覧者へ配られる問題自体は残るため、いずれにせよ6.37.0以降への更新をおすすめします。
いま取るべき対策
最優先は、Ghostを6.37.0以降へ更新することです。Ghost(Pro)のホスティングを使っている場合は提供側で更新されますが、自分のサーバーで運用しているなら早急にバージョンを上げてください。
すぐに更新できない場合の緩和策として、次の点が有効です。前段のキャッシュ(CDNやリバースプロキシ)で「x-ghost-preview」ヘッダーを取り除く、またはこのヘッダーで応答が変わるページをキャッシュしない設定にすること。可能であれば公開サイトと管理画面を別ドメインに分けること。あわせて、身に覚えのない管理者・スタッフアカウントの追加や、不審な記事の変更がないかを点検してください。
まとめ
GhostのCVE-2026-53943は、認証なしで送れるプレビュー用ヘッダーによって表示を汚染し、共有キャッシュ経由で他の閲覧者へ配ってしまう脆弱性です。公開サイトと管理画面が同一ドメインの場合はスタッフのアカウント乗っ取りにつながり得ます。深刻度はCVSS 9.6、対象は4.0.0〜6.36系で、6.37.0で修正済みです。
Ghostは個人ブログから有料メディアまで幅広く使われており、乗っ取られたときの信用への打撃は小さくありません。自分のサーバーで運用しているなら、まずバージョンを確認し、古ければ今すぐ更新してください。Ghostに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。