Résumé
Le 12 janvier 2026, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Gogs, un logiciel open source pour héberger des dépôts de code comme GitHub.
Référencée sous CVE-2025-8110, cette vulnérabilité permet à un attaquant de parcourir les dossiers du serveur (path traversal) via une mauvaise gestion des liens symboliques dans l’API PutContents, pouvant mener à l’exécution de code malveillant.
Solutions
Il est recommandé d’appliquer les correctifs indiqués par les développeurs de Gogs.
La faille est activement exploitée : oui
Détails techniques
Score CVSS : 8.8
EPSS : 2.13%
Risques : Parcours de chemin (path traversal) et exécution de code
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Gogs versions inférieures ou égale à 0.13.3
Documentation
- Bulletin de sécurité de Gogs :
https://github.com/gogs/gogs/commit/553707f3fd5f68f47f531cfcff56aa3ec294c6f6
- Détails NIST CVE :
https://nvd.nist.gov/vuln/detail/CVE-2025-8110
- CVE Details :
https://www.cvedetails.com/cve/CVE-2025-8110/
- CWE :