Interface de l'éditeur de texte de Ghost CMS en mode brouillon sur fond blanc. Le titre de l'article est "How to make music with a single analog monosynth". Une boîte contextuelle d'option en bas à droite permet de choisir la couleur d'arrière-plan du bloc avec un curseur actif sélectionnant une teinte verte. En haut, une image d'illustration montre un synthétiseur modulaire noir.

Plus de 700 sites piratés : la faille critique de Ghost CMS qui sème la terreur sur le web

/ Applications À la une Développement Sécurité / 4 minutes de lecture
Zone de fortes turbulences pour les instances auto-hébergées du CMS open source. Ghost, prisé par les créateurs de contenu, les médias et les entreprises de la tech, est actuellement la cible d’une cyberattaque d’envergure mondiale. Et pourtant : tout a été corrigé… en février.

D’après les révélations de plusieurs organismes de cybersécurité, centralisées dans le récit d’alerte de BleepingComputer, des pirates exploitent activement une vulnérabilité critique pour prendre le contrôle à distance des serveurs. À ce jour, plus de 700 domaines légitimes ont été compromis, incluant la prestigieuse Harvard International Review ainsi que des portails académiques rattachés aux universités d’Oxford et d’Auburn.

Comment fonctionne l’arnaque « ClickFix » qui piège les internautes ?

La faille à l’origine de ce désastre, référencée sous l’identifiant CVE-2026-26980, présente un score de sévérité CVSS quasi-maximal de 9,4 sur 10. Située dans le mécanisme de filtrage de l’API de contenu de Ghost, elle affecte une immense majorité des installations (versions 3.24.0 à 6.19.0).

Le modus operandi des attaquants s’avère particulièrement redoutable :

  • L’injection aveugle : sans avoir besoin de s’authentifier, les pirates envoient une requête HTTP GET falsifiée pour siphonner la base de données du site et en extraire les clés secrètes de l’API d’administration.

  • La modification invisible : armés de ces clés d’administration, ils modifient automatiquement des centaines d’articles légitimes pour y injecter un code JavaScript malveillant en arrière-plan.

  • Le piège ClickFix : lorsqu’un internaute visite l’une de ces pages compromises, le script déclenche une fausse fenêtre de vérification de sécurité (imitant l’interface de protection de Cloudflare). Pour « valider » son accès, l’utilisateur est incité à copier-coller une ligne de commande dans son terminal, téléchargeant à son insu un cheval de Troie (UtilifySetup.exe) capable de vider son système.

Signe de la rentabilité colossale de cette campagne, les chercheurs du laboratoire chinois XLab précisent qu’au moins deux syndicats du crime rivaux se disputent actuellement les serveurs vulnérables, certains sites étant nettoyés puis ré-infectés par des scripts concurrents plusieurs fois au cours d’une même journée.

Un correctif disponible depuis février, mais superbement ignoré

Le plus dramatique dans cette affaire réside dans le fait que cette crise aurait pu être évitée. La faille a été corrigée par les équipes de développement de Ghost le 19 février 2026. L’alerte de sécurité et les détails du code de remédiation sont accessibles directement sur le bulletin de sécurité GitHub de Ghost.

Malheureusement, l’absence chronique de mises à jour automatiques ou de vigilance de la part des administrateurs système a laissé des centaines de plateformes à la merci des scans malveillants. Bien que XLab ait initié une campagne de notification directe des serveurs infectés à partir du 10 mai, la quasi-totalité des alertes envoyées est restée sans réponse.

🚨 Procédure d’urgence pour les administrateurs Ghost CMS :

  1. Mettre à jour immédiatement votre instance vers la version 6.19.1 ou une mouture ultérieure.

  2. Révoquer et renouveler l’intégralité des clés d’API (Content et Admin) ainsi que les mots de passe de vos utilisateurs.

  3. Inspecter le code source de vos articles publiés à la recherche d’éventuelles injections de balises <script> suspectes.

  4. Isoler et analyser les 30 derniers jours de vos journaux d’accès réseau (logs) pour vérifier qu’aucune exfiltration de données n’a eu lieu avant la mise à jour.

🛠️ L’avis de Goodtech : les mises à jour de Ghost doivent être simplifiées

Si plus de 700 sites d’envergure sont restés sur le carreau face à cette injection SQL, c’est le symptôme d’un mal bien connu des administrateurs système : la complexité de maintenance de Ghost en auto-hébergement. Contrairement à WordPress, qui a démocratisé la mise à jour de sécurité en un clic depuis son panneau d’administration web, Ghost CMS fait de la résistance. Même avec l’arrivée récente de la version majeure Ghost 6, l’éditeur refuse d’intégrer un bouton de mise à niveau automatique dans son interface graphique pour des raisons de cloisonnement des privilèges Linux.

Pour mettre à jour une instance autonome, il faut impérativement se connecter au serveur en SSH, mettre à jour le gestionnaire de paquets global via Node.js, lancer un ghost backup et prier pour que la commande ghost update ne vienne pas buter sur un conflit de permissions de fichiers ou une incompatibilité de version de base de données. Ce processus rébarbatif et technique pousse de nombreux administrateurs à repousser les mises à niveau au lendemain.

C’est le prix caché de l’auto-hébergement face à l’offre managée payante Ghost(Pro), et les cybercriminels l’ont bien compris : ils savent que les serveurs Ghost indépendants sont des cibles idéales qui mettent souvent des mois à appliquer le moindre correctif de sécurité…

Must Read

Retour en haut