Campagne ClickFix active exploitant CVE-2026-26980 dans Ghost CMS : 287 sites compromis

🔍 Contexte Publié le 23 juin 2026 par SicuraNext (blog.sicuranext.com), cet article présente une recherche read-only menée le 11 juin 2026 sur une campagne active exploitant CVE-2026-26980, une injection SQL dans l’API publique Content de Ghost CMS (versions 3.24.0 à 6.19.0, corrigée en 6.19.1 en février 2026). ⚙️ Mécanisme d’attaque L’exploitation se déroule en deux étapes : Lecture via Content API (sans authentification) pour extraire la clé Admin API stockée en base de données Écriture via Admin API avec la clé volée pour injecter un loader JavaScript malveillant dans les corps de posts Le loader injecté (ghost_once_footer_<id>) utilise une porte localStorage (exécution unique par navigateur), encode l’origine victime via btoa(location.origin), et charge un second stage depuis un C2 via une URL base64 encodée. La chaîne mène à une page FakeCAPTCHA/ClickFix incitant les visiteurs à exécuter des commandes ou installer un malware. ...

26 juin 2026 · 3 min

Campagne ClickFix massive exploitant une injection SQL critique dans Ghost CMS (CVE-2026-26980)

🗓️ Contexte Publié le 24 mai 2026 sur BleepingComputer, cet article s’appuie sur les recherches de XLab, équipe de threat intelligence de la société chinoise Qianxin, ainsi que sur des travaux antérieurs de SentinelOne (publiés le 27 février 2026). 🎯 Vulnérabilité exploitée CVE-2026-26980 est une injection SQL critique affectant Ghost CMS versions 3.24.0 à 6.19.0. Elle permet à des attaquants non authentifiés de lire des données arbitraires depuis la base de données, notamment les clés API admin. Un correctif a été publié le 19 février 2026 dans la version Ghost CMS 6.19.1, mais de nombreux sites n’ont pas appliqué la mise à jour. ...

25 mai 2026 · 3 min
Dernière mise à jour le: 11 juillet 2026 📝