Campagne ClickFix active exploitant CVE-2026-26980 dans Ghost CMS : 287 sites compromis
🔍 Contexte Publié le 23 juin 2026 par SicuraNext (blog.sicuranext.com), cet article présente une recherche read-only menée le 11 juin 2026 sur une campagne active exploitant CVE-2026-26980, une injection SQL dans l’API publique Content de Ghost CMS (versions 3.24.0 à 6.19.0, corrigée en 6.19.1 en février 2026). ⚙️ Mécanisme d’attaque L’exploitation se déroule en deux étapes : Lecture via Content API (sans authentification) pour extraire la clé Admin API stockée en base de données Écriture via Admin API avec la clé volée pour injecter un loader JavaScript malveillant dans les corps de posts Le loader injecté (ghost_once_footer_<id>) utilise une porte localStorage (exécution unique par navigateur), encode l’origine victime via btoa(location.origin), et charge un second stage depuis un C2 via une URL base64 encodée. La chaîne mène à une page FakeCAPTCHA/ClickFix incitant les visiteurs à exécuter des commandes ou installer un malware. ...