Origine : bjCSIRT

Numéro : 2026/ALERTE/002

APERÇU :

De multiples vulnérabilités ont été découvertes dans GitLab CE et EE, permettant à un acteur malveillant de contourner des protections, provoquer des dénis de service ou compromettre des mécanismes de sécurité, entraînant des risques d’interruption de service et d’accès non autorisés aux comptes. 

DESCRIPTION :

GitLab Community Edition (CE) et Enterprise Edition (EE) sont des plateformes permettant la gestion de dépôts de code source, l’intégration et le déploiement continus (CI/CD), ainsi que la collaboration entre équipes de développement. 

Ces solutions sont affectées par plusieurs vulnérabilités libellées comme suit :  

CVE-2025-13927 : Cette vulnérabilité découle d’une mauvaise validation des données d’authentification dans l’intégration Jira Connect. Un acteur malveillant non authentifié pourrait envoyer des requêtes spécialement conçues avec des données d’authentification malformées, provoquant une condition de déni de service (DoS) sur l’instance GitLab affectée.

Cette vulnérabilité est classée élevée avec un score de sévérité 7.5 selon le CVSS v3.1.  

CVE-2025-13928 :  Cette vulnérabilité est due à une mauvaise gestion des autorisations dans l’API. Elle permettrait à un acteur malveillant non authentifié d’envoyer des requêtes non autorisées, provoquant un déni de service. 

Cette vulnérabilité est classée élevée avec un score de sévérité 7.5 selon le CVSS v3.1.  

CVE-2026-0723 : Cette vulnérabilité résulte d’une mauvaise gestion des réponses de validation utilisées lors de la double authentification. Elle permettrait à un acteur malveillant disposant des identifiants d’un compte de contourner la double authentification (2FA) en soumettant des réponses falsifiées. 

Cette vulnérabilité est classée élevée avec un score de sévérité 7.4 selon le CVSS v3.1.  

CVE-2025-13335 : Cette vulnérabilité est causée par un problème de boucle infinie dans les redirections du Wiki. Sous certaines conditions, un utilisateur authentifié pourrait configurer des documents Wiki malformés qui contournent la détection des cycles, provoquant un déni de service.

Elle est classée moyenne avec un score de sévérité 6.5 selon le CVSS v3.1.  

CVE-2026-1102 : Cette vulnérabilité permettrait à un acteur malveillant d’effectuer un déni de service sur un système affecté en envoyant de manière répétée des requêtes de connexions SSH malformées. 

Elle est classée moyenne avec un score de sévérité 5.3 selon le CVSS v3.1. 

IMPACT

• Compromission des comptes utilisateurs ;
• Atteinte à la confidentialité des données ;
• Atteinte à l’intégrité des données ;
• Atteinte à la confidentialité des données.

SYSTÈMES AFFECTÉS : 

• Versions GitLab CE/EE antérieures à 18.6.4; 

• Versions GitLab CE/EE 18.7 antérieurs à 18.7.2; 

• Versions GitLab CE/EE 18.8 antérieurs à 18.8.2. 

MESURES À PRENDRE :

• Mettre à jour les installations GitLab CE/EE vers les versions 18.6.4, 18.7.2 ou 18.8.2 ou ultérieures ; 

• Vérifier les journaux pour détecter toute activité d’exploitation suspecte antérieure à la mise à jour ; 

RÉFÉRENCES :

• https://about.gitlab.com/releases/2026/01/21/patch-release-gitlab-18-8-2-released/
• https://www.thehackerwire.com/vulnerability/CVE-2025-13927/
• https://www.thehackerwire.com/vulnerability/CVE-2026-0723/
• https://nvd.nist.gov/vuln/detail/CVE-2025-13928
• https://app.opencve.io/cve/CVE-2025-13335
• https://www.thehackerwire.com/vulnerability/CVE-2026-1102/