Ghost CMS SQL injection flaw exploited in large-scale ClickFix campaign

Campagne ClickFix exploitant une vulnérabilité critique dans Ghost CMS

Une vaste campagne malveillante exploite actuellement une faille SQL injection dans Ghost CMS pour compromettre plus de 700 sites web, incluant des institutions académiques et des entreprises technologiques. Les attaquants utilisent cette vulnérabilité pour injecter des scripts JavaScript redirigeant les visiteurs vers une attaque « ClickFix », incitant les utilisateurs à exécuter des commandes malveillantes sur leur propre machine sous prétexte d’une vérification de sécurité.

Points clés :

• Vulnérabilité : CVE-2026-26980 (SQL injection).
• Impact : Accès non authentifié à la base de données permettant de dérober les clés API administrateur et de modifier le contenu des sites.
• Mécanisme d’attaque : Injection de scripts malveillants affichant une fausse invite Cloudflare. Les victimes sont manipulées pour copier-coller une commande dans leur terminal Windows, installant ainsi divers malwares (DLL loaders, droppers, etc.).
• Victimes : Plus de 700 domaines compromis, dont des sites universitaires de renom (Harvard, Oxford) et des portails technologiques.

Vulnérabilités :

• CVE-2026-26980 : Affecte Ghost CMS versions 3.24.0 à 6.19.0.

Recommandations :

• Mise à jour immédiate : Passer à la version 6.19.1 ou ultérieure.
• Rotation des accès : Régénérer systématiquement toutes les clés API administrateur, car elles sont considérées comme compromises.
• Audit et nettoyage : Vérifier l’intégrité des pages et des scripts pour supprimer toute injection malveillante.
• Surveillance : Conserver un historique des logs d’API sur 30 jours pour faciliter les enquêtes rétrospectives en cas de suspicion d’intrusion.

Source