Origine : bjCSIRT

Numéro : 2026/ALERTE/050

APERÇU :
De multiples vulnérabilités ont été découvertes dans GitLab CE/EE, permettant à un acteur malveillant de compromettre des comptes utilisateurs, d’exécuter du code côté client dans le navigateur d’une victime, de provoquer un déni de service à distance. 

DESCRIPTION

GitLab Community Edition (CE) et Enterprise Edition (EE) sont des plateformes de gestion de cycle de vie DevOps permettant l’hébergement de dépôts de code source, la collaboration et l’intégration/déploiement continus (CI/CD). 

Ces solutions sont affectées par plusieurs vulnérabilités libellées comme suit : 

CVE-2026-6552 : Cette vulnérabilité est due à un contrôle d’autorisation insuffisant au sein du mécanisme de gestion des identités Group SAML. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié disposant du rôle Group Owner de prendre le contrôle du compte d’un autre membre du même groupe.  

Elle est classée élevée avec un score de sévérité de 8.7 selon le CVSS v3.1. 

CVE-2026-10087 : Cette vulnérabilité résulte d’une validation insuffisante des entrées utilisateur dans le composant Analytics Dashboard. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié disposant de privilèges de développeur d’exécuter du code JavaScript dans le navigateur d’un utilisateur.  

Elle est classée élevée avec un score de sévérité de 8.7 selon le CVSS v3.1. 

CVE-2026-7250 : Cette vulnérabilité est causée par une validation insuffisante des entrées dans le middleware chargé de l’analyse des requêtes API. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de provoquer un déni de service affectant la disponibilité de l’instance.  

Elle est classée élevée avec un score de sévérité de 7.5 selon le CVSS v3.1. 

CVE-2026-8589 : Cette vulnérabilité découle d’une neutralisation insuffisante des données fournies par l’utilisateur dans certains champs de configuration de groupe, permettant l’injection de contenu HTML malveillant (HTML Injection via XSS). L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’associer des adresses électroniques non autorisées au compte d’un utilisateur ciblé.  

Elle est classée élevée avec un score de sévérité de 7.3 selon le CVSS v3.1. 

IMPACT

• Compromission de comptes utilisateurs ; 
• Exécution de code javascript arbitraire dans le navigateur d’une victime ;
• Déni de service ; 
• Modification non autorisée d’informations associées aux comptes utilisateurs ;
• Atteinte à la confidentialité et à l’intégrité des données.

SYSTEMES AFFECTÉS 

• CVE-2026-6552 : GitLab EE versions 15.5 à 18.10.7, 18.11 à 18.11.4 et 19.0 à 19.0.1 ; 

• CVE-2026-10087 : GitLab EE versions 17.1 à 18.10.7, 18.11 à 18.11.4 et 19.0 à 19.0.1 ; 

• CVE-2026-7250 : GitLab CE/EE versions 12.10 à 18.10.7, 18.11 à 18.11.4 et 19.0 à 19.0.1 ; 

• CVE-2026-8589 : GitLab EE versions 13.1.4 à 18.10.7, 18.11 à 18.11.4 et 19.0 à 19.0.1. 

 MESURES À PRENDRE :

• Mettre à jour Gitlab CE/EE vers sa dernière version stable en fonction de la branche déployée ; 

• S’assurer de l’application du principe du moindre privilège ; 

• Faire une revue des journaux d’audit afin de détecter toute modification anormale des comptes, des identités SAML et des paramètres de groupe ; 

RÉFÉRENCES :

• https://about.gitlab.com/releases/2026/06/10/patch-release-gitlab-19-0-2-released/
• https://docs.gitlab.com/releases/patches/patch-release-gitlab-19-0-2-released/
• https://nvd.nist.gov/vuln/detail/CVE-2026-6552
• https://nvd.nist.gov/vuln/detail/CVE-2026-10087
• https://nvd.nist.gov/vuln/detail/CVE-2026-7250
• https://nvd.nist.gov/vuln/detail/CVE-2026-8589