Campagne ClickFix active exploitant CVE-2026-26980 dans Ghost CMS : 287 sites compromis
đ Contexte PubliĂ© le 23 juin 2026 par SicuraNext (blog.sicuranext.com), cet article prĂ©sente une recherche read-only menĂ©e le 11 juin 2026 sur une campagne active exploitant CVE-2026-26980, une injection SQL dans lâAPI publique Content de Ghost CMS (versions 3.24.0 Ă 6.19.0, corrigĂ©e en 6.19.1 en fĂ©vrier 2026). âïž MĂ©canisme dâattaque Lâexploitation se dĂ©roule en deux Ă©tapes : Lecture via Content API (sans authentification) pour extraire la clĂ© Admin API stockĂ©e en base de donnĂ©es Ăcriture via Admin API avec la clĂ© volĂ©e pour injecter un loader JavaScript malveillant dans les corps de posts Le loader injectĂ© (ghost_once_footer_<id>) utilise une porte localStorage (exĂ©cution unique par navigateur), encode lâorigine victime via btoa(location.origin), et charge un second stage depuis un C2 via une URL base64 encodĂ©e. La chaĂźne mĂšne Ă une page FakeCAPTCHA/ClickFix incitant les visiteurs Ă exĂ©cuter des commandes ou installer un malware. ...