Origine : bjCSIRT

Numéro : 2026/ALERTE/023

APERÇU :

De multiples vulnérabilités affectant GitLab CE et EE, permettraient à un acteur malveillant d’exécuter du code JavaScript arbitraire, d’accéder à des jetons sensibles, d’exécuter des mutations GraphQL non autorisées, de contourner des restrictions d’accès et de provoquer un déni de service.

DESCRIPTION

GitLab Community Edition (CE) et Enterprise Edition (EE) sont des plateformes de gestion de cycle de vie DevOps permettant l’hébergement de dépôts de code source, la collaboration et l’intégration/déploiement continus (CI/CD).   

Ces solutions sont affectées par plusieurs vulnérabilités libellées comme suit : 

CVE-2026-5816 : Il s’agit d’une vulnérabilité de type résolution incorrecte de l’équivalence de chemin. Elle découle d’un défaut de validation des chemins d’accès aux fichiers. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié d’exécuter du code JavaScript arbitraire dans le navigateur d’un utilisateur. 

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.0 selon le CVSS v3.1. 

CVE-2026-5262 : Il s’agit d’une vulnérabilité de type Cross-Site Scripting (XSS), résultant d’une validation d’entrée insuffisante. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié d’accéder à des jetons sensibles dans l’environnement de développement Storybook. 

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.0 selon le CVSS v3.1. 

CVE-2026-4922 : Classée comme une vulnérabilité de type CSRF (Cross-Site Request Forgery), elle est due à une protection CSRF insuffisante sur le point d’entrée /api/graphql. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié d’exécuter des mutations GraphQL à la place d’utilisateurs authentifiés.  

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.1 selon le CVSS v3.1. 

CVE-2026-5377 : Cette vulnérabilité, de type autorisation incorrecte, découle d’un contrôle d’accès inapproprié lors du processus de rendu de la description des tickets. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’accéder aux titres de tickets confidentiels ou privés au sein de projets publics. 

Cette vulnérabilité est classée moyenne avec un score de sévérité de 4.3 selon le CVSS v3.1. 

CVE-2026-6515 : Il s’agit d’une vulnérabilité d’expiration de session insuffisante. Elle résulte d’un défaut dans la validation des informations d’identification des registres virtuels. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié de réutiliser des sessions ou des jetons normalement expirés ou restreints afin d’accéder de manière non autorisée à des registres virtuels. 

Cette vulnérabilité est classée moyenne avec un score de sévérité de 5.4 selon le CVSS v3.1. 

CVE-2026-1660 : De type déni de service (DoS), cette vulnérabilité est due à une validation d’entrée incorrecte lors de l’importation de tickets. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié de provoquer un déni de service. 

Cette vulnérabilité est classée moyenne avec un score de sévérité de 6.5 selon le CVSS v3.1. 

CVE-2025-6016 : Il s’agit d’une vulnérabilité de type déni de service (DoS) causée par une gestion inappropriée des quotas de ressources durant la récupération des notes. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié de provoquer un déni de service. 

Cette vulnérabilité est classée moyenne avec un score de sévérité de 6.5 selon le CVSS v3.1. 

CVE-2025-3922 : Cette vulnérabilité, de type déni de service (DoS), découle d’un manque de restrictions lors de l’allocation des ressources dans l’API GraphQL. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié de provoquer un déni de service en surchargeant les ressources système. 

Cette vulnérabilité est classée moyenne avec un score de sévérité de 6.5 selon le CVSS v3.1. 

CVE-2025-0186 : Classée comme une vulnérabilité de type déni de service (DoS), elle résulte d’une absence de mécanismes de limitation de ressources. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié de provoquer un déni de service en effectuant des requêtes spécialement conçues vers un point de terminaison de discussions. 

Cette vulnérabilité est classée moyenne avec un score de sévérité de 6.5 selon le CVSS v3.1.

IMPACT

• Exécution de code arbitraire ; 
• Atteinte à la confidentialité des données ;
• Atteinte à l’intégrité et à la disponibilité des systèmes ;
• Contournement d’authentification et d’autorisation.

SYSTÈMES AFFECTÉS :

• Les versions de GitLab CE/EE antérieures à 18.9.6 ; 

• Les versions de GitLab CE/EE 18.10.x antérieures à 18.10.4 ; 

• Les versions de GitLab CE/EE 18.11.x antérieures à 18.11.1. 

MESURES À PRENDRE :

Mettre à jour Gitlab CE/EE vers sa dernière version stable selon la branche utilisée. 

RÉFÉRENCES :

• https://about.gitlab.com/releases/2026/04/22/patch-release-gitlab-18-11-1-released/
• https://gitlab.com/gitlab-org/gitlab/-/work_items/592816
• https://hackerone.com/reports/3572231
• https://gitlab.com/gitlab-org/gitlab/-/work_items/595332
• https://hackerone.com/reports/3574642
• https://gitlab.com/gitlab-org/gitlab/-/work_items/594937
• https://hackerone.com/reports/3627285
• https://gitlab.com/gitlab-org/gitlab/-/work_items/595553
• https://hackerone.com/reports/3640688
• https://gitlab.com/gitlab-org/gitlab/-/work_items/595993
• https://gitlab.com/gitlab-org/gitlab/-/work_items/588200