Malgré un correctif disponible, une faille de Ghost CMS est activement exploitée

La société de cybersécurité chinoise Qianxin a révélé, le 21 mai 2026, que des cybercriminels exploitaient activement une vulnérabilité de Ghost CMS, un logiciel open source d’administration de blogs et de plateformes éditoriales. Divulguée publiquement le 19 février 2026, la faille CVE-2026-26980 a été corrigée le jour même, mais de nombreuses instances n’ont toujours pas appliqué de mise à jour de sécurité.

Les pirates ont ainsi pu compromettre plus de 700 domaines issus de secteurs variés : blogs personnels, plateformes SaaS, médias et établissements académiques. Parmi les victimes figurent la Harvard International Review et des portails appartenant aux universités d’Oxford et d’Auburn.

La vulnérabilité permet de prendre discrètement le contrôle de l’administration du site. Un attaquant peut alors insérer dans certains articles un code JavaScript invisible pour le lecteur. Ce script affiche une fausse page Cloudflare de vérification anti-robot, qui incite l’utilisateur à lancer une commande installant un logiciel malveillant, une technique connue sous le nom de « ClickFix ».

Qianxin appelle les administrateurs de sites utilisant Ghost CMS à le mettre immédiatement à jour vers la version 6.19.1 ou supérieure. L’entreprise de cybersécurité leur recommande également de réinitialiser l’ensemble des clés API et mots de passe administrateur, puis d’examiner leurs articles pour y détecter d’éventuels scripts malveillants.