La faille est connue, mais les correctifs semblent avoir été largement ignorés.
L’affaire concerne Ghost CMS, logiciel open source de gestion de contenu, très utilisé pour faire tourner des blogs et sites de publication. La vulnérabilité en question ? CVE-2026-26980, notée 9,4 sur 10 en gravité, divulguée publiquement le 19 février 2026. Un correctif a été publié dans la foulée, mais trois mois plus tard, des centaines de sites ne l’ont toujours pas appliqué.
Si bien que le 7 mai 2026, les chercheurs de XLab, rattachée à la société de cybersécurité chinoise Qianxin, détectent une première vague de compromissions. Leurs investigations, publiées le 21 mai, révèlent qu’au moins 700 domaines ont été infectés, couvrant des secteurs très variés : blogs personnels, plateformes SaaS, médias, fintech, Web3 et établissements académiques. Parmi les victimes notables figurent la Harvard International Review, ainsi que des portails liés aux universités d’Oxford et d’Auburn.
Comment fonctionne l’attaque
La faille se situe dans la manière dont Ghost gère certaines requêtes envoyées à son API. En temps normal, accéder aux données sensibles d’un site requiert de s’identifier. Ici, ce n’est pas le cas : sans aucun mot de passe ni identifiant, un attaquant peut envoyer une demande spécialement construite pour forcer la base de données à livrer les clés d’administration du site, l’équivalent d’un passe-partout donnant accès à l’ensemble du contenu et des paramètres.
Une fois ces clés en main, les attaquants utilisent l’API officielle de Ghost pour modifier en masse des articles publiés, en y glissant un code JavaScript invisible pour le lecteur. Ce code, chargé discrètement dans le navigateur de chaque visiteur, contacte un serveur contrôlé par les attaquants et affiche une fausse page de vérification imitant le système anti-robot de Cloudflare, une technique prisée des pirates, connue sous le nom de ClickFix.
Le visiteur est alors invité à ouvrir le terminal de commande Windows (WIN+R), coller un contenu avec Ctrl+V et appuyer sur Entrée. Ce qu’il exécute sans le savoir est une commande malveillante. Pendant ce temps, un fichier a déjà été téléchargé silencieusement en arrière-plan.
Ce qu’il faut faire
La charge finale déposée sur les machines des victimes est un malware, indétectable par les antivirus au moment de l’analyse. Il s’installe, persiste au redémarrage et contacte un serveur de commande toutes les 30 secondes.
Les administrateurs de sites sous Ghost CMS sont une nouvelle fois sommées de mettre à jour immédiatement vers la version 6.19.1 ou supérieure, régénérer toutes les clés API et mots de passe administrateurs, puis inspecter le contenu des articles à la recherche de scripts injectés.
Les visiteurs qui auraient suivi les instructions d’une fausse page de vérification Cloudflare sur un site Ghost doivent considérer leur machine comme potentiellement compromise et procéder à une analyse de sécurité.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !