Ghost CMS compromis : 700 sites piratés via CVE-2026-26980

Ghost CMS transformé en vecteur de malware : la mécanique d'une campagne SQLi-ClickFix à 700 victimes

Le 7 mai 2026, les chercheurs en threat intelligence de XLab, filiale de la société de cybersécurité chinoise Qianxin, ont détecté les premiers signes d'une campagne d'exploitation systématique visant les instances de Ghost CMS exposées sur internet. Ghost est un système de gestion de contenu open source bâti sur Node.js, particulièrement prisé par les médias indépendants, les blogs académiques, les newsletters et les startups SaaS pour sa légèreté et ses fonctionnalités de publication modernes. À la date de rédaction de cet article, la campagne a compromis plus de 700 domaines à travers le monde, parmi lesquels des portails d'universités d'élite comme Harvard et Oxford, des sites d'entreprises fintech, de médias en ligne et, fait particulièrement symbolique, le site de DuckDuckGo — le moteur de recherche axé sur la vie privée.

La vulnérabilité au cœur de cette campagne est CVE-2026-26980, une injection SQL aveugle (blind SQL injection) affectant le filtre d'ordonnancement du paramètre slug dans l'API Content de Ghost. Cette faille, divulguée publiquement le 19 février 2026, touche toutes les versions de Ghost comprises entre 3.24.0 et 6.19.0. L'API Content de Ghost est une interface publique, non authentifiée par défaut, qui permet aux développeurs de récupérer les contenus publiés pour les intégrer dans des applications tierces. C'est précisément son caractère non authentifié qui rend cette injection SQL particulièrement dangereuse : aucun compte, aucun token d'accès préalable n'est requis pour l'exploiter depuis internet.

Techniquement, l'exploitation de CVE-2026-26980 suit un chemin en plusieurs étapes documenté dans les analyses de SonicWall et de Sentinel One. Dans un premier temps, l'attaquant envoie une requête HTTP spécialement forgée vers l'endpoint public de l'API Content de Ghost, en injectant des commandes SQL dans le paramètre d'ordonnancement. Cette injection lui permet d'effectuer des lectures arbitraires dans la base de données de l'application, sans nécessiter la moindre authentification préalable. Dans le cadre de la campagne observée, l'objectif de cette première phase est précis et systématique : extraire la clé Admin API du site Ghost, qui permet un accès complet aux fonctionnalités d'administration.

Une fois la clé Admin API en main, l'attaque entre dans sa seconde phase. L'acteur malveillant utilise cette clé pour appeler l'API d'administration de Ghost et procède à une modification en masse de l'ensemble des articles publiés sur le site cible : un loader JavaScript malveillant est injecté à la fin de chaque billet existant. Ce loader est conçu pour être discret — son code est minifié et obfusqué — et il opère en deux temps. Lors d'une première visite, il contacte l'infrastructure de l'attaquant pour télécharger un code de deuxième étage qui effectue un fingerprinting du visiteur : type de navigateur, système d'exploitation, présence d'un VPN, comportement de navigation. Ce profilage permet de filtrer les cibles pertinentes — typiquement des utilisateurs humains naviguant sur Windows — et de leur servir une attaque ClickFix.

L'attaque ClickFix est un vecteur d'ingénierie sociale en pleine montée en puissance depuis 2025. Dans le cas de cette campagne Ghost CMS, le visiteur ciblé se voit présenter une fausse invite de vérification Cloudflare — un design très ressemblant à l'authentique page CAPTCHA de Cloudflare — qui lui demande d'effectuer une action spécifique pour prouver qu'il n'est pas un bot : appuyer sur une combinaison de touches (typiquement Windows+R puis Ctrl+V) pour « activer » une vérification de sécurité. Cette action en réalité exécute une commande PowerShell malveillante que le JavaScript a préalablement placée dans le presse-papiers de l'utilisateur à son insu. La commande PowerShell télécharge et exécute un second payload — un infostealer ou un loader de ransomware selon les variantes documentées par XLab.

L'ampleur géographique et thématique des 700 domaines compromis mérite une attention particulière. XLab a documenté des victimes dans des catégories aussi diverses que des portails universitaires (Harvard, Oxford, Auburn University), des entreprises d'IA et de SaaS, des médias en ligne, des sociétés fintech, des sites de sécurité informatique et des blogs personnels. La présence de DuckDuckGo dans la liste est particulièrement notable : le moteur de recherche axé sur la confidentialité est précisément visité par des utilisateurs soucieux de leur sécurité en ligne, ce qui en fait une cible de choix pour un acteur cherchant à compromettre des profils technophiles et potentiellement plus difficiles à tromper avec des vecteurs d'attaque classiques. Selon les informations disponibles, DuckDuckGo a rapidement identifié et retiré le code malveillant injecté.

La chronologie de la campagne révèle un angle préoccupant sur la réactivité de la communauté des administrateurs Ghost. CVE-2026-26980 a été divulguée le 19 février 2026 et corrigée dans Ghost 6.19.1 dès sa publication. Pourtant, en mai 2026, soit plus de deux mois après la publication du patch, des milliers d'instances Ghost restaient non mises à jour et pleinement exploitables. C'est ce retard de patching qui a offert à l'acteur malveillant la fenêtre d'opportunité pour mener une campagne d'exploitation à grande échelle. Un exploit public pour CVE-2026-26980 avait par ailleurs été publié sur une plateforme open source par un chercheur indépendant et indexé par Sploitus, abaissant considérablement la barrière technique à l'exploitation pour des attaquants moins sophistiqués.

Pour les administrateurs qui gèrent des instances Ghost, la réponse immédiate est une mise à jour vers la version 6.19.1 ou supérieure. Si la mise à jour immédiate n'est pas possible, il est recommandé de désactiver temporairement l'API Content publique dans la configuration Ghost ou de la restreindre via des règles de pare-feu applicatif (WAF). Les sites potentiellement compromis doivent auditer l'ensemble de leur contenu publié à la recherche de scripts JavaScript suspects ajoutés en fin d'articles, vérifier les logs d'accès à l'API Admin pour des patterns d'authentification inhabituels, et procéder à une réinitialisation complète de la clé Admin API.

La campagne a été détaillée dans un rapport technique publié par XLab et Qianxin, avec des indicateurs de compromission (IoC) incluant les domaines d'infrastructure C2 utilisés par l'acteur malveillant pour héberger les payloads de deuxième et troisième étages. Ces IoC ont été partagés avec BleepingComputer qui a contribué à leur diffusion large dans la communauté de sécurité.

ClickFix et CMS compromis : l'ingénierie sociale industrialisée à l'ère des failles non patchées

La campagne Ghost CMS CVE-2026-26980 illustre une évolution significative dans la sophistication des campagnes de distribution de malware : l'exploitation combinée d'une vulnérabilité technique dans un CMS populaire et d'une technique d'ingénierie sociale (ClickFix) pour franchir la dernière barrière — le comportement humain. Cette combinaison est particulièrement efficace car elle tire parti de la crédibilité d'un site légitime pour diffuser le leurre social. Lorsqu'un utilisateur visite le portail de son université ou un media reconnu et se voit présenter une invite de vérification Cloudflare, son niveau de méfiance est naturellement inférieur à ce qu'il serait sur un site inconnu.

La technique ClickFix a émergé comme un vecteur préoccupant en 2025 et connaît une industrialisation en 2026. Documentée initialement dans des campagnes ciblant des utilisateurs de services RH et de plateformes de collaboration, elle s'est depuis diversifiée vers des leurres CAPTCHA, des faux mises à jour de navigateur et des prétextes de vérification de sécurité. Son efficacité repose sur un paradoxe comportemental : les utilisateurs qui ont appris à se méfier des téléchargements automatiques restent vulnérables aux instructions qui leur demandent d'effectuer eux-mêmes une action, car l'invitation à agir activement crée l'illusion d'un contrôle et d'un consentement. En demandant à l'utilisateur d'appuyer sur des touches spécifiques, l'attaquant contourne les mécanismes de protection du navigateur qui bloquent les téléchargements non sollicités.

Le vecteur CMS compromis pour ClickFix prend une dimension industrielle avec l'exploitation de vulnérabilités dans des CMS populaires comme Ghost. En 2024, des campagnes similaires avaient ciblé des sites WordPress via des plugins vulnérables. La disponibilité d'exploits publics pour CVE-2026-26980 et le délai de patching constaté dans la communauté Ghost indiquent que ce type de campagne va se répéter tant que la culture de mise à jour des CMS ne s'améliorera pas structurellement. Les hébergeurs web et les plateformes de CMS as a Service ont un rôle crucial à jouer en implémentant des mises à jour automatiques sécurisées ou en alertant proactivement leurs clients sur les vulnérabilités critiques.

Pour les équipes de sécurité gérant des sites institutionnels ou d'entreprise basés sur des CMS, cet incident renforce l'importance d'une gestion rigoureuse du cycle de vie des logiciels. Un CMS non mis à jour représente non seulement un risque pour l'organisation qui le gère, mais aussi pour les millions de visiteurs qui lui font confiance — un impact réputationnel et légal potentiellement considérable, en particulier dans le contexte de la directive NIS2 qui impose aux entités essentielles des obligations strictes en matière de gestion des vulnérabilités et de notification d'incidents.

Ce qu'il faut retenir

• CVE-2026-26980 permet une injection SQL non authentifiée dans Ghost CMS versions 3.24.0 à 6.19.0, permettant d'obtenir la clé Admin API et de compromettre tout le contenu du site.
• La campagne en cours a compromis 700+ domaines — dont Harvard, Oxford et DuckDuckGo — transformés en vecteurs d'attaques ClickFix via de faux CAPTCHA Cloudflare injectés dans les articles publiés.
• Mise à jour immédiate vers Ghost 6.19.1 requise ; les sites potentiellement affectés doivent auditer leur contenu publié et réinitialiser leur clé Admin API sans délai.