https://cyberveille.ch/tags/javascript-loader/ Recent content in JavaScript Loader on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 26 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-26-campagne-clickfix-active-exploitant-cve-2026-26980-dans-ghost-cms-287-sites-compromis/ Fri, 26 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-26-campagne-clickfix-active-exploitant-cve-2026-26980-dans-ghost-cms-287-sites-compromis/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 23 juin 2026 par SicuraNext (blog.sicuranext.com), cet article présente une recherche read-only menée le 11 juin 2026 sur une campagne active exploitant <strong>CVE-2026-26980</strong>, une injection SQL dans l&rsquo;API publique Content de <strong>Ghost CMS</strong> (versions 3.24.0 à 6.19.0, corrigée en 6.19.1 en février 2026).</p> <h2 id="-mécanisme-dattaque">⚙️ Mécanisme d&rsquo;attaque</h2> <p>L&rsquo;exploitation se déroule en deux étapes :</p> <ol> <li><strong>Lecture via Content API</strong> (sans authentification) pour extraire la clé Admin API stockée en base de données</li> <li><strong>Écriture via Admin API</strong> avec la clé volée pour injecter un loader JavaScript malveillant dans les corps de posts</li> </ol> <p>Le loader injecté (<code>ghost_once_footer_&lt;id&gt;</code>) utilise une <strong>porte localStorage</strong> (exécution unique par navigateur), encode l&rsquo;origine victime via <code>btoa(location.origin)</code>, et charge un second stage depuis un C2 via une URL base64 encodée. La chaîne mène à une page <strong>FakeCAPTCHA/ClickFix</strong> incitant les visiteurs à exécuter des commandes ou installer un malware.</p>