Une faille critique non corrigée dans le système de gestion de contenu Ghost CMS, rendue publique en février 2026, continue d’être exploitée par des cybercriminels pour transformer des centaines de sites légitimes en vecteurs de distribution de logiciels malveillants. Selon Numerama, cette vulnérabilité, référencée CVE-2026-26980 et notée à 9,4 sur 10 en gravité, permet aux attaquants de s’emparer des accès administrateur sans même nécessiter d’identifiants.
Trois mois après la publication d’un correctif, des centaines de sites fonctionnant sous Ghost CMS n’ont toujours pas appliqué la mise à jour vers la version 6.19.1 ou supérieure. Les chercheurs de XLab, filiale de la société chinoise de cybersécurité Qianxin, ont révélé le 21 mai 2026 avoir identifié au moins 700 domaines infectés, couvrant des secteurs variés : blogs personnels, plateformes SaaS, médias, fintech, Web3 et établissements académiques. Parmi les victimes reconnues figurent la Harvard International Review, ainsi que des portails liés aux universités d’Oxford et d’Auburn.
Ce qu'il faut retenir
- Une faille critique dans Ghost CMS (CVE-2026-26980) a été corrigée en février 2026, mais des centaines de sites restent vulnérables.
- Les chercheurs de XLab ont identifié au moins 700 domaines compromis en mai 2026, incluant des médias et des institutions académiques.
- L’attaque repose sur l’injection de scripts malveillants via l’API de Ghost, transformant les sites en pièges à clics.
- Les utilisateurs victimes d’une fausse page de vérification Cloudflare sont invités à analyser leur machine.
- Ghost CMS recommande de mettre à jour vers la version 6.19.1 ou supérieure et de régénérer les clés API.
Une faille permettant de prendre le contrôle total d’un site
La vulnérabilité CVE-2026-26980 réside dans la gestion des requêtes envoyées à l’API de Ghost CMS. Normalement, l’accès aux données sensibles nécessite une authentification. Or, les attaquants peuvent envoyer une requête spécialement conçue pour obtenir directement les clés d’administration du site. Autant dire qu’il s’agit d’un passe-partout, offrant un accès complet au contenu et aux paramètres de gestion.
Une fois ces clés récupérées, les pirates utilisent l’API officielle pour modifier en masse les articles publiés. Ils y insèrent discrètement un code JavaScript invisible pour les lecteurs. Ce code, exécuté automatiquement par le navigateur des visiteurs, contacte un serveur contrôlé par les attaquants avant d’afficher une fausse page de vérification imitant le système anti-robot de Cloudflare — une technique connue sous le nom de ClickFix.
Une technique d’infection en plusieurs étapes
Le visiteur trompé par cette fausse page est incité à ouvrir le terminal de commande Windows (touche WIN+R), à coller un contenu via Ctrl+V, puis à appuyer sur Entrée. Sans le savoir, il exécute une commande malveillante tandis qu’un fichier est téléchargé en arrière-plan. Cette charge finale, indétectable par les antivirus au moment de l’analyse, s’installe de manière persistante et contacte un serveur de commande toutes les 30 secondes.
Cette méthode repose sur la crédulité des utilisateurs et une usurpation d’identité technique sophistiquée. Les attaquants misent sur la méconnaissance des internautes concernant les procédures authentiques de vérification en ligne, notamment celles de Cloudflare, souvent utilisée comme bouclier par les sites légitimes.
Des secteurs variés et des institutions prestigieuses touchés
L’ampleur de l’attaque dépasse le simple cadre des blogs personnels ou des plateformes commerciales. Les données publiées par XLab montrent que des acteurs majeurs, y compris des institutions académiques et des médias, ont été compromis. La Harvard International Review, revue de référence de l’université d’Harvard, figure parmi les victimes, tout comme des portails affiliés aux universités d’Oxford et d’Auburn.
Cette diversité sectorielle illustre la vulnérabilité généralisée de la plateforme Ghost CMS, malgré son adoption par des organisations soucieuses de transparence et de sécurité. Elle soulève également des questions sur la gestion des correctifs dans les environnements open source, où les mises à jour ne sont pas toujours appliquées en temps utile.
Les recommandations pour se protéger
Face à cette menace persistante, les administrateurs de sites sous Ghost CMS sont invités à agir sans délai. Ghost CMS recommande trois mesures prioritaires : mettre à jour le système vers la version 6.19.1 ou supérieure, régénérer toutes les clés API et mots de passe administrateurs, puis procéder à un audit complet du contenu publié, notamment en recherchant la présence de scripts injectés.
Pour les visiteurs ayant été exposés à une fausse page de vérification Cloudflare, une analyse de sécurité approfondie est conseillée. Le malware utilisé dans cette campagne est conçu pour rester furtif et persister même après un redémarrage du système, ce qui rend une détection précoce difficile sans outils spécialisés.
Cette affaire rappelle également aux utilisateurs l’importance de la vigilance face aux demandes inhabituelles d’exécution de commandes, même lorsqu’elles semblent provenir d’un service connu. Une bonne pratique consiste à vérifier systématiquement l’authenticité des pages de vérification en contactant directement l’administrateur du site via un canal officiel.
Ghost CMS recommande de vérifier la version installée. Si celle-ci est antérieure à la 6.19.1, le site est potentiellement vulnérable. Une inspection manuelle des articles et des scripts intégrés est également conseillée. Les administrateurs peuvent aussi vérifier l’activité suspecte sur les clés API via les logs du serveur.
Il est impératif d’analyser immédiatement votre machine avec un antivirus à jour ou un outil de détection de malwares. Déconnectez-vous des réseaux sensibles et envisagez une réinitialisation complète du système si l’infection est confirmée. Conservez une copie des logs suspects pour faciliter l’analyse par des professionnels.
