Gitea vulnérable à l'usurpation 🚨, VM Linux KVM compromet son hôte 💥, OpenSSH 10.4 corrige huit failles 🔐
• 3 minutes de lectureBonjour, voici ta veille Cybere du 7 juillet 2026 !
Failles vieilles de plusieurs années, configurations par défaut dangereuses : l'actualité du jour rappelle que le danger dort souvent dans le code depuis longtemps. Les correctifs s'enchaînent, parfois juste avant les premières tentatives d'exploitation.
Retrouve les trois articles à la une du jour :
- Une faille dans l'image Docker de Gitea expose des milliers de serveurs à l'usurpation d'identité
- Januscape permet à une VM KVM de corrompre le noyau hôte, sur Intel et AMD
- OpenSSH 10.4 corrige huit vulnérabilités affectant client et serveur
Une faille critique dans l'image Docker de Gitea permet l'usurpation de comptes
Une faille critique dans les images Docker de Gitea, découverte par le chercheur Ali Mustafa, a fait l'objet d'une première tentative d'exploitation détectée 13 jours après sa divulgation, sans que l'attaque ne progresse au-delà d'une investigation initiale.
La CVE-2026-20896 (CVSS 9.8) permet à un attaquant non authentifié d'usurper l'identité de tout utilisateur dont le nom de connexion est connu ou devinable, en falsifiant l'en-tête HTTP « X-WEBAUTH-USER ». Les comptes administrateur sont les cibles évidentes, l'accès admin dépendant de l'activation de l'auto-enregistrement. Le problème vient du fichier de configuration par défaut qui accepte les connexions par proxy provenant de n'importe quelle adresse IP, mais la faille suppose que l'administrateur ait activé l'authentification par proxy inverse. Sysdig a détecté une première tentative d'exploitation. Environ 6 200 instances Gitea sont exposées sur internet.
Points d'attention
- Le fichier app.ini configure par défaut
REVERSE_PROXY_TRUSTED_PROXIESsur*, contournant tout contrôle d'accès. - Les versions affectées incluent Gitea Docker jusqu'à
1.26.2, corrigé dans1.26.3en juin 2026. - L'attaquant n'a pas encore progressé au-delà de la phase de reconnaissance selon Sysdig.
Une faille critique dans Linux KVM permet à une VM de compromettre son hôte
Une faille use-after-free dans le code shadow MMU de Linux KVM, baptisée Januscape et tracée comme la CVE-2026-53359, permet à une machine virtuelle invitée de corrompre l'état du noyau hôte sur les architectures Intel et AMD.
Le chercheur Hyunwoo Kim a découvert ce défaut qui dormait depuis 16 ans, et l'a soumis au programme kvmCTF de Google (jusqu'à 250 000 $ pour une évasion invité-hôte complète). Un exploit public provoque un arrêt du serveur hôte, tandis qu'une variante non divulguée fournirait une exécution de code avec privilèges root sur l'hôte, menaçant tous les autres locataires d'une machine physique partagée.
Points d'attention
- L'attaque nécessite un accès root dans la VM invitée et la virtualisation imbriquée, conditions courantes chez les fournisseurs cloud.
- Januscape est le troisième exploit noyau de Kim en deux mois, après Dirty Frag (mai) et ITScape (juin, première évasion invité-hôte sur KVM/arm64).
- Le NVD n'a pas encore attribué de score CVSS à la faille, mais il est recommandé de corriger sans attendre.
- Désactiver la virtualisation imbriquée (kvm_intel.nested=0) supprime le vecteur d'attaque jusqu'à application du correctif, livré dans les versions stables du 4 juillet 2026.
OpenSSH 10.4 corrige huit failles de sécurité
OpenSSH version 10.4 sort avec huit correctifs de sécurité affectant le client et le serveur SSH, logiciel qui porte l'essentiel du trafic SSH sur internet.
Les défauts couvrent des manipulations de fichiers dans sftp et scp (deux failles issues du Swival Security Scanner), une condition de déni de service en pré-authentification (uniquement si GSSAPIAuthentication est activé, bien qu'il soit désactivé par défaut), une faille use-after-free côté client, et plusieurs contournements de configurations de sécurité. La version introduit aussi un support expérimental pour un schéma de signature post-quantique combinant ML-DSA 44 et Ed25519, ainsi qu'un nouveau moteur de correspondance de motifs qui élimine un risque de temps d'exécution exponentiel.
Points d'attention
- Trois changements peuvent casser les configurations existantes, notamment sur Linux où l'échec d'activation du bac à sable
seccompdevient désormais fatal. - Le schéma de signature post-quantique ML-DSA 44/Ed25519 reste désactivé par défaut : les administrateurs doivent l'ajouter aux réglages HostKeyAlgorithms et PubkeyAcceptedAlgorithms, puis générer des clés dédiées.
- Le correctif sur
PermitTunneletDisableForwardingharmonise le comportement documenté du serveur.
Autres actus importantes
- 'BusySnake' : un voleur d'informations s'infiltre dans les réseaux d'infrastructures critiques
- L'agence d'espionnage canadienne signale avoir piraté trois groupes criminels en 2025
- Exploit de preuve de concept publié pour la vulnérabilité d'accès root 'Bad Epoll' sous Linux
- Des hackers présumés liés à la Chine utilisent un faux utilitaire de déclaration fiscale indien pour déployer DcRAT
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere