Une campagne cybercriminelle de grande envergure cible actuellement les sites fonctionnant sous Ghost CMS, un système de gestion de contenu open source. Des chercheurs en sécurité ont identifié l’exploitation active d’une vulnérabilité d’injection SQL, référencée sous le code CVE-2026-26980 et dotée d’un score CVSS de 9,4 sur 10, soit un niveau critique. Cette faille, située dans l’API Content de Ghost, permet à un attaquant non authentifié de lire des données arbitraires depuis la base de données du site.

Selon les analyses de l’équipe de sécurité QiAnXin XLab, l’attaque vise à injecter du code JavaScript malveillant sur les pages compromises. Ce code est ensuite utilisé pour mener des opérations de type « ClickFix », une technique de leurre qui incite l’utilisateur à cliquer sur un bouton ou un lien factice, le redirigeant vers des sites frauduleux ou déclenchant le téléchargement de logiciels malveillants.

Plus de 700 sites déjà touchés

Les chercheurs estiment que plus de 700 sites exploitant Ghost CMS ont déjà été piratés dans le cadre de cette campagne. Le nombre exact pourrait être plus élevé, car la détection complète des sites compromis reste difficile. Les attaquants exploitent la vulnérabilité SQL pour injecter leur code de manière furtive, sans nécessairement laisser de traces évidentes dans les fichiers du système.

Ghost CMS est un logiciel populaire, notamment utilisé par des blogueurs, des médias et des entreprises pour la gestion de contenu. La faille CVE-2026-26980 a été rendue publique récemment, ce qui a rapidement attiré l’attention des cybercriminels. Les administrateurs de sites utilisant Ghost sont invités à appliquer sans délai les correctifs de sécurité fournis par l’éditeur.

Mécanisme de l’attaque ClickFix

Le scénario typique d’une attaque ClickFix commence par l’affichage d’un message d’erreur ou d’une notification trompeuse sur le site légitime, par exemple « Votre navigateur est obsolète » ou « Cliquez ici pour vérifier votre compte ». L’utilisateur, pensant résoudre un problème, clique sur le bouton proposé. Cette action déclenche alors le téléchargement d’un fichier malveillant ou une redirection vers un site de phishing.

Dans le cas présent, les attaquants ont exploité l’injection SQL pour insérer le code JavaScript nécessaire à l’affichage de ces fenêtres frauduleuses directement dans les pages du site victime. Les visiteurs légitimes du site sont ainsi exposés à des logiciels malveillants sans que l’administrateur du site en ait immédiatement connaissance.

Recommandations de sécurité

Face à cette menace, les experts recommandent aux utilisateurs de Ghost CMS de mettre à jour leur installation vers la dernière version disponible, qui corrige la vulnérabilité CVE-2026-26980. Il est également conseillé de vérifier l’intégrité des fichiers du site, d’auditer les logs d’accès et de mettre en place des solutions de sécurité web (WAF) pour détecter les tentatives d’injection SQL.

Les internautes sont eux aussi appelés à la prudence : il convient de ne pas cliquer sur des fenêtres contextuelles inattendues, en particulier celles qui demandent une action immédiate. Les administrateurs de sites doivent par ailleurs surveiller toute activité anormale dans leurs bases de données et leurs journaux d’erreurs.

Une campagne en cours

Les chercheurs continuent de suivre l’évolution de cette campagne. La simplicité d’exploitation de la faille et le nombre élevé de sites vulnérables laissent craindre une augmentation du nombre de compromissions dans les prochains jours. Il est probable que d’autres groupes criminels adoptent la même technique, ce qui rend la mise à jour urgente pour tous les utilisateurs de Ghost CMS.

Les autorités de cybersécurité n’ont pas encore communiqué officiellement sur cette campagne, mais les analyses indépendantes confirment l’ampleur du phénomène. Les sites ciblés semblent répartis dans plusieurs pays, sans qu’un secteur particulier soit privilégié.