A critical vulnerability in the forge app Gogs has been reported this week: CVE-2025-8110.
Wiz Threat Research (WTR) has already detected 700 compromised instances: any repository created on July 10, 2025 on your instance with a strange 8-character name is a sign of compromission.
A fix is being worked on upstream but has not been released yet: Prevent symlink attacks in repo file updates by Sn0w3y · Pull Request #8070 · gogs/gogs · GitHub .
WTR recommends disabling open-registration (at least if not required as it is activated by default) and limiting internet exposure by placing self-hosted Git services behind a VPN.
You can also remove permissions to visitors or all_users groups until a fix is published.
You may also consider changing forge (YunoHost app catalog offers packages for Forjego, Gitea, Gitlab, …).
Une vulnérabilité critique dans la forge Gogs a été rapportée cette semaine: CVE-2025-8110.
Wiz Threat Research (WTR) a déjà détecté 700 instances compromises: tout dépôt créé le 10 juillet 2025 sur votre instance avec un nom de bizarre de 8 caractères doit vous alerter.
Un correctif est en préparation en amont mais n’a pas encore été publié: Prevent symlink attacks in repo file updates by Sn0w3y · Pull Request #8070 · gogs/gogs · GitHub .
WTR recommande de désactiver l’auto-enregistrement des comptes (tout du moins si non nécessaire, car c’est activé par défaut) et de limiter l’exposition à Internet de la forge Gogs en mettant le service derrière un VPN.
Vous pouvez aussi retirer la permissions au groupe visitors et all_users jusqu’à ce qu’un correctif soit publié.
Vous pouvez également envisager de changer de forge (le catalogue d’applications de YunoHost inclut notamment des paquets pour Forjego, Gitea, Gitlab, …).