Ghost CMS piraté : 700 sites détournés pour ClickFix

Une SQL injection silencieuse compromet 700 sites institutionnels via Ghost CMS

Depuis le 7 mai 2026, une campagne d'exploitation massive frappe les sites fonctionnant sous Ghost CMS. La faille impliquée, référencée CVE-2026-26980, est une injection SQL aveugle non authentifiée dans la Content API de Ghost, l'un des systèmes de gestion de contenu open-source les plus populaires auprès des médias, des organisations académiques et des startups technologiques. Avec un score CVSS de 9,4, la vulnérabilité est classée critique, et son exploitation à grande échelle a été documentée simultanément par The Hacker News, BleepingComputer et SecurityWeek au cours du mois de mai 2026.

Ghost CMS est un système de publication open-source orienté performance, apprécié pour sa simplicité et sa légèreté par rapport à des solutions plus lourdes comme WordPress. Ses utilisateurs incluent de grandes marques médias, des publications indépendantes et des plateformes SaaS. C'est précisément cette base d'utilisateurs à haute visibilité et réputation qui en fait une cible de choix pour des acteurs malveillants cherchant à diffuser du contenu frauduleux depuis des domaines de confiance, dont les visiteurs n'ont aucune raison de se méfier a priori. Un site académique ou une plateforme de recherche reconnue constitue un vecteur d'infection d'autant plus efficace que la confiance des utilisateurs y est naturellement élevée.

La vulnérabilité CVE-2026-26980 affecte toutes les versions de Ghost CMS comprises entre 3.24.0 et 6.19.0. Elle réside dans la manière dont la Content API traite certains paramètres de requête, permettant à un attaquant non authentifié d'exécuter des requêtes SQL arbitraires en lecture sur la base de données du site. En pratique, cela signifie qu'un acteur malveillant peut, sans aucune authentification préalable, récupérer des données sensibles stockées dans la base, et notamment l'Admin API Key qui confère un accès complet aux fonctionnalités d'administration du site, équivalent à un accès administrateur total sur l'ensemble du contenu publié.

La séquence d'attaque documentée par les chercheurs suit un schéma en trois temps précis. Dans un premier temps, l'attaquant envoie des requêtes malformées à l'endpoint Content API de la cible afin d'extraire l'Admin API Key par injection SQL aveugle, une technique qui peut être entièrement automatisée via des outils disponibles publiquement. Dans un second temps, armé de cette clé, l'acteur utilise l'API d'administration Ghost pour modifier en masse les articles publiés sur le site compromis, en injectant en bas de chaque page un loader JavaScript obfusqué et léger. Dans un troisième temps, ce loader contacte l'infrastructure de l'attaquant pour récupérer un second stage de code, un script de cloaking qui analyse les caractéristiques du visiteur pour déterminer s'il constitue une cible viable.

Les visiteurs identifiés comme cibles reçoivent une superposition visuelle mimant une vérification de sécurité Cloudflare. Cette technique, connue sous le nom de ClickFix, est un mécanisme de social engineering qui connaît une expansion spectaculaire depuis 2024. La fausse page CAPTCHA invite la victime à cliquer sur un bouton pour vérifier son humanité, ce qui déclenche en réalité l'exécution d'une commande PowerShell préalablement placée dans le presse-papier de la machine. Sur les systèmes Windows, cette commande télécharge et exécute une charge utile malveillante : infostealer, Remote Access Trojan ou loader de ransomware selon la campagne et le profil de la victime ciblée.

La liste des sites compromis révélée par les chercheurs est particulièrement frappante par sa diversité institutionnelle et sa portée mondiale. On y trouve des universités de rang mondial comme Harvard University, Oxford University et Auburn University, ainsi que le moteur de recherche axé vie privée DuckDuckGo, des plateformes blockchain, des acteurs du domaine SaaS, des entreprises de cybersécurité, des médias spécialisés et des sociétés de fintech. Au total, plus de 700 sites répartis dans de nombreux secteurs et pays différents ont été identifiés comme compromis au moment des premières analyses publiées fin mai 2026 par les équipes de recherche de Rescana, vulert et OpenText Cybersecurity.

Deux clusters d'attaquants distincts ont été identifiés par les chercheurs, suggérant que l'exploitation de CVE-2026-26980 n'est pas le fait d'un groupe isolé mais d'au moins deux équipes qui ont adopté indépendamment la même vulnérabilité. La rapidité de la compromission, certains sites étant infectés en moins de 24 heures après l'initiation de l'attaque, et la diversité géographique des cibles indiquent clairement que les acteurs disposent d'outils automatisés de scanning et d'exploitation à très grande échelle, rendant la campagne comparable en ampleur à celles qui ont exploité des failles dans des plugins WordPress populaires par le passé.

Le patch corrigeant CVE-2026-26980 a été publié par l'équipe Ghost en février 2026 dans la version 6.19.1. La faille était donc connue et corrigée depuis plusieurs mois au moment où la campagne d'exploitation a démarré en mai 2026. Ce décalage souligne le problème persistant du retard de mise à jour dans les environnements de production : les délais entre la disponibilité d'un correctif et son déploiement effectif constituent une fenêtre d'opportunité critique que les attaquants savent identifier et exploiter de manière systématique sur des scans massifs de l'espace d'adressage Internet.

ClickFix s'impose comme l'un des vecteurs d'attaque les plus redoutables de 2026

La technique ClickFix mérite une attention particulière car elle illustre une évolution profonde des stratégies d'infection. Là où les campagnes de phishing classiques reposent sur la tromperie par email, ClickFix injecte sa charge dans des sites légitimes et réputés, tirant parti de la confiance accordée par les utilisateurs à des domaines institutionnels reconnus. Lorsqu'un chercheur visite le site de son université et voit s'afficher un message de vérification de sécurité d'apparence Cloudflare, il a peu de raisons objectives de le suspecter. C'est précisément cette légitimité de surface qui rend ClickFix particulièrement efficace et difficile à contrer par la seule sensibilisation des utilisateurs.

L'exploitation de CMS populaires comme Ghost pour diffuser ClickFix s'inscrit dans une tendance que les équipes de sécurité doivent intégrer pleinement dans leur modèle de menace en 2026. Des campagnes similaires ont ciblé WordPress via des plugins vulnérables, Joomla via des extensions tierces mal maintenues, et maintenant Ghost via son Content API. Le point commun est invariablement le même : une instance de CMS non patchée, exposée sur Internet, servant de rampe de lancement pour des attaques ciblant les visiteurs plutôt que directement le propriétaire du site. Le site web devient un vecteur involontaire de distribution de malwares vers ses propres lecteurs.

Pour les organisations qui publient du contenu en ligne — entreprises, institutions académiques, médias ou associations — cette campagne soulève des questions de responsabilité importantes. Un site compromis qui distribue des malwares à ses visiteurs engage la réputation de l'organisation et potentiellement sa responsabilité juridique, notamment dans le cadre du RGPD si les visiteurs touchés sont des citoyens européens dont les données personnelles sont compromises par suite du malware installé. La mise à jour des CMS et de leurs dépendances doit être traitée comme une obligation de maintenance critique, au même titre que les patchs du système d'exploitation ou des middlewares d'infrastructure.

Du point de vue défensif, plusieurs couches de protection permettent de réduire significativement le risque. La mise à jour vers Ghost CMS 6.19.1 ou toute version supérieure supprime la faille CVE-2026-26980 à sa source. L'activation d'un Web Application Firewall capable de détecter les tentatives d'injection SQL sur les endpoints API constitue un filet de sécurité supplémentaire pour les instances qui ne peuvent pas être patchées immédiatement. La surveillance des modifications de contenu non autorisées via des outils de détection d'intégrité permet d'identifier rapidement une compromission post-exploitation. Côté endpoint utilisateur, les solutions EDR qui bloquent l'exécution de commandes PowerShell inattendues restent le dernier rempart contre la charge utile ClickFix elle-même.

Ce qu'il faut retenir

• Mettre à jour Ghost CMS vers la version 6.19.1 ou supérieure immédiatement pour corriger CVE-2026-26980 (CVSS 9.4, injection SQL non authentifiée dans la Content API).
• Auditer le code source HTML de tous les articles publiés à la recherche de scripts JavaScript injectés en bas de page, signe d'une compromission déjà en cours.
• ClickFix est l'un des vecteurs d'infection les plus efficaces de 2026 : former les équipes à ne jamais exécuter des commandes PowerShell suggérées par une page web, même sur un site institutionnel de confiance.