Gogs vulnérable à RCE 💥, FortiClient EMS piraté 🔓, Microsoft censure un chercheur 🤐

Veille

29 mai 2026 • 2 minutes de lecture

Kilian PICHARD

Bonjour et bienvenue dans cette nouvelle édition du 29 mai 2026 de ta Cybere veille !

Retrouve les trois articles à la une du jour :

Une vulnérabilité critique dans Gogs permet l'exécution de code à distance via des dépôts malveillants
Des attaquants exploitent une faille FortiClient EMS pour diffuser un malware voleur de données via de fausses mises à jour
Microsoft supprime un compte GitHub après la publication de preuves de concept pour des vulnérabilités zero-day non corrigées

Vulnérabilité critique dans Gogs permettant l'exécution de code à distance

Un attaquant authentifié peut prendre le contrôle total d'un serveur Gogs et exécuter des commandes arbitraires.

La faille, identifiée dans le système de gestion de dépôts Git auto-hébergé Gogs, affecte les versions antérieures à 0.13.0. Elle résulte d'une validation insuffisante des entrées dans la fonctionnalité de création de dépôts, permettant d'injecter des commandes système via des paramètres malveillants.

Points d'attention

Tout utilisateur disposant d'un compte valide peut exploiter cette vulnérabilité sans privilèges supplémentaires.
Les instances Gogs exposées sur Internet sont particulièrement menacées.
Aucune solution de contournement n'est disponible, une mise à jour immédiate vers la version 0.13.0 est requise.

Des attaquants exploitent une faille dans FortiClient EMS pour diffuser un malware voleur de données

Des cybercriminels ciblent des entreprises en abusant d’une vulnérabilité critique dans FortiClient EMS pour déployer un logiciel malveillant inédit, EKZ, spécialisé dans le vol de données d’authentification.

La faille CVE-2026-35616, un contournement d’authentification, permet à des attaquants non authentifiés d’exécuter du code arbitraire via des requêtes spécialement conçues. Fortinet a confirmé son exploitation active début avril et publié des correctifs d’urgence pour les versions 7.4.5 et 7.4.6. Les assaillants masquent le malware en mise à jour Fortinet, l’exécutant via des scripts VPN gérés par FortiClient.

Points d'attention

La vulnérabilité affecte les instances FortiClient EMS exposées sur internet, avec près de 2 000 serveurs identifiés comme vulnérables.
Les attaquants modifient les configurations EMS et les politiques VPN pour injecter des scripts malveillants, déclenchés lors de l’établissement d’un tunnel IPsec.
Les logs peuvent révéler des anomalies comme l’erreur "Certificate not found in request header" suivie d’une mise à jour suspecte de certificat.

Microsoft critique les divulgations publiques de vulnérabilités zero-day après la suppression d'un compte de chercheur sur GitHub

La suppression d'un compte GitHub d'un chercheur en cybersécurité relance le débat sur les pratiques de divulgation des vulnérabilités non corrigées.

Microsoft a retiré le 27 mai 2026 le compte GitHub d'un chercheur ayant publié des preuves de concept (PoC) pour des vulnérabilités zero-day affectant ses produits. L'entreprise a justifié cette décision par une violation de ses conditions d'utilisation, arguant que ces divulgations publiques exposaient les utilisateurs à des risques avant la disponibilité de correctifs.

Points d'attention

La suppression du compte intervient après la publication de PoC pour des vulnérabilités non patchées, sans coordination préalable avec Microsoft.
Les chercheurs en sécurité défendent cette pratique comme un moyen de forcer les éditeurs à accélérer les corrections.
Cette affaire soulève des questions sur l'équilibre entre transparence et responsabilité dans la divulgation des failles.

Autres actus importantes

Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

Merci d'avoir pris le temps de me lire.

À très vite pour la prochaine veille 🔐 – Kilian de Cybere