Origine : bjCSIRT

Numéro : 2026/ALERTE/021

APERÇU :

De multiples vulnérabilités ont été découvertes dans GitLab CE et EE, permettant à un acteur malveillant de provoquer un déni de service ou d’invoquer des méthodes non autorisées côté serveur. 

DESCRIPTION

GitLab Community Edition (CE) et Enterprise Edition (EE) sont des plateformes de gestion de cycle de vie DevOps permettant l’hébergement de dépôts de code source, la collaboration et l’intégration/déploiement continus (CI/CD).  

Ces solutions sont affectées par plusieurs vulnérabilités libellées comme suit : 

CVE-2026-5173 : Cette vulnérabilité découle d’un contrôle d’accès inapproprié au sein des connexions WebSocket. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’invoquer des méthodes côté serveur non prévues, pouvant mener à des actions non autorisées sur l’instance. 

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.5 selon le CVSS v3.1. 

CVE-2026-1092 : Cette vulnérabilité résulte d’une validation insuffisante des entrées lors du traitement des charges utiles JSON. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de provoquer un déni de service (DoS) du système affecté. 

Cette vulnérabilité est classée élevée avec un score de sévérité de 7.5 selon le CVSS v3.1. 

CVE-2025-12664 : Cette vulnérabilité est causée par une gestion inadéquate des requêtes GraphQL répétées. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de saturer les ressources du serveur afin de provoquer un déni de service. 

Cette vulnérabilité est classée élevée avec un score de sévérité de 7.5 selon le CVSS v3.1. 

IMPACT

• Atteinte à l’intégrité des processus serveur par l’appel de méthodes non autorisées ; 
• Atteinte à la disponibilité des services de développement et de production.

SYSTÈMES AFFECTÉS :

• CVE-2026-5173 : Les versions de GitLab CE/EE de 16.9.6 à 18.8.8, de 18.9 à 18.9.4, et de 18.10 à 18.10.2 ; 
• CVE-2026-1092 : Les versions de GitLab CE/EE de 12.10 à 18.8.8, de 18.9 à 18.9.4, et de 18.10 à 18.10.2 ; 
• CVE-2025-12664 : Les versions de GitLab CE/EE de 13.0 à 18.8.8, de 18.9 à 18.9.4, et de 18.10 à 18.10.2. 

MESURES À PRENDRE :

Mettre à jour GitLab CE/EE vers sa dernière version stable en fonction de la branche utilisée. 

RÉFÉRENCES :

• https://about.gitlab.com/releases/2026/04/08/patch-release-gitlab-18-10-3-released/
• https://nvd.nist.gov/vuln/detail/CVE-2026-5173
• https://nvd.nist.gov/vuln/detail/CVE-2026-1092
• https://nvd.nist.gov/vuln/detail/CVE-2025-12664