En 2016, je vous parlais de Gogs , ce petit serveur Git auto-hébergé super léger qui s’installe en 10 secondes et c’est encore aujourd’hui une alternative sympa à GitHub pour ceux qui voulaient garder leur code chez eux. Mais attention, si vous l’utilisez, il va falloir agir vite parce que là, c’est la catastrophe.

Des chercheurs de Wiz viennent de découvrir que plus de 700 instances Gogs exposées sur Internet ont été compromises via une faille zero-day baptisée CVE-2025-8110. Et le pire, c’est que cette faille est activement exploitée depuis juillet 2025 et qu’il n’existe toujours pas de patch.

L’attaque est vicieuse car un attaquant n’a besoin que d’un compte utilisateur standard pour compromettre votre serveur. Il crée un dépôt, y ajoute un lien symbolique pointant vers un fichier sensible, puis utilise l’API PutContents pour écrire à travers ce lien et modifier le fichier .git/config. Ensuite, en bidouillant la directive sshCommand, il peut alors exécuter n’importe quelle commande sur votre serveur. Voilà, c’est plié !

Cette faille est en fait un contournement d’un ancien correctif (CVE-2024-55947). Les développeurs avaient patché le problème mais avaient oublié de gérer le cas des liens symboliques. Et ce n’est même pas la première fois que Gogs se retrouve dans cette situation puisqu’en juillet 2024, quatre failles critiques avaient été publiées (CVE-2024-39930, CVE-2024-39931, CVE-2024-39932, CVE-2024-39933), toutes avec des scores CVSS de 9.9 sur 10, et au final, les mainteneurs avaient tout simplement… cessé de répondre aux chercheurs. C’est moche !

Sur les 1400 instances Gogs exposées sur Internet identifiées par Wiz, plus de 700 ont donc été compromises. Les attaquants utilisent le framework C2 Supershell pour garder le contrôle des machines et les chercheurs soupçonnent des cybercriminels basés en Asie vu l’usage de cet outil très particulier.

Donc si vous avez un serveur Gogs qui tourne, voici ce qu’il faut faire immédiatement : Vous devez désactiver l’inscription ouverte si vous n’en avez pas besoin (c’est activé par défaut) et mettre votre instance derrière un VPN. Après pour savoir si vous êtes déjà compromis, cherchez des dépôts créés le 10 juillet avec des noms bizarres de 8 caractères.

Après à ce stade, je vous conseille de migrer vers Gitea , le fork de Gogs qui est activement (et mieux) maintenu et qui n’est pas affecté par ces failles. Gogs semble être devenu un projet abandonné niveau sécurité, et c’est vraiment dommage parce que le concept était génial.

Source

Google vient de publier son bulletin de sécurité de décembre 2025 et c’est pas joli joli. Au programme, 107 vulnérabilités corrigées dont deux 0-day activement exploités dans des attaques ciblées. Donc si vous avez un smartphone Android, allez vérifier vos mises à jour immédiatement !

Les deux failles qui posent problème s’appellent CVE-2025-48633 et CVE-2025-48572. La première permet de voler des informations sur votre appareil et la seconde offre une escalade de privilèges… autrement dit, un attaquant peut prendre le contrôle de votre téléphone. Et ces deux vulnérabilités touchent le Framework Android, c’est à dire le cœur du système et elles affectent les versions 13, 14, 15 et 16. Donc en gros, à peu près tout le monde.

Le CISA américain (l’agence de cybersécurité) a ajouté ces deux CVE à son catalogue des vulnérabilités activement exploitées. Et quand le CISA bouge son popotin, c’est que c’est du sérieux. Google parle d’exploitation “limitée et ciblée”, ce qui signifie probablement des attaques de type spyware contre des cibles spécifiques… journalistes, activistes, ce genre de profils, mais rien n’empêche ces failles de se démocratiser maintenant qu’elles sont publiques.

À côté de ces deux 0-day, le bulletin corrige aussi une faille critique (CVE-2025-48631) qui permet un déni de service à distance sans avoir besoin de privilèges particuliers. En clair, quelqu’un peut faire planter votre téléphone à distance. C’est toujours sympa à faire ^^.

Ensuite, le reste du bulletin, c’est 34 failles dans le Framework, 13 dans le composant System, plus une cinquantaine de vulnérabilités réparties entre le kernel, les GPU Arm Mali, et les composants MediaTek, Qualcomm et Unisoc. Quatre failles kernel critiques permettent une élévation de privilèges via pKVM et IOMMU… bref, c’est le festival !

Pour vérifier si vous avez le patch, allez dans Paramètres > À propos du téléphone > Version Android (ou Informations sur le logiciel selon les marques). Vous devez avoir au minimum le niveau de correctif du 1er décembre 2025. Si vous êtes en dessous, forcez la vérification des mises à jour ou attendez que votre constructeur daigne pousser le patch… ce qui peut prendre quelques jours à quelques semaines selon la marque.

Les Pixel ont déjà reçu la mise à jour et pour Samsung, OnePlus et les autres, ça dépend du modèle et de la région. Et les téléphones qui ne reçoivent plus de mises à jour de sécurité sont évidemment exposés indéfiniment à ces failles, sauf si vous les rootez pour y mettre un Android custom du genre LineageOS ou GrapheneOS (Il est à la mode celui là en ce moment.. ahahaha).

Source