L'Agence nationale de la sécurité des systèmes d'information (ANSSI), via son Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR), a diffusé ce 25 juin deux nouvelles alertes de sécurité portant sur des produits largement déployés dans les environnements de développement et d'exploitation.

Vulnérabilités dans CPython

Le premier avis (référence CERTFR-2026-AVI-0800) concerne l'interpréteur de référence du langage Python, CPython. Selon les informations publiées par l'éditeur Python les 23 et 25 juin, plusieurs brèches de sécurité ont été identifiées dont les impacts peuvent être graves. Les risques listés par le CERT-FR incluent des atteintes à l'intégrité et à la confidentialité des données, ainsi que la possibilité pour un attaquant de provoquer un déni de service à distance. L'une des vulnérabilités est identifiée sous la référence CVE-2026-0864, tandis que deux autres portent les identifiants CVE-2026-11940 et CVE-2026-11972. L'avis précise que seules les versions de CPython dépourvues du dernier correctif de sécurité sont affectées.

Failles colmatées dans GitLab

Le second avis (CERTFR-2026-AVI-0799), daté également du 25 juin, alerte sur des vulnérabilités multiples dans la plateforme de gestion de code source GitLab. Selon les bulletins de sécurité de l'éditeur publiés la veille, les versions concernées sont les déclinaisons Community Edition (CE) et Enterprise Edition (EE). Sont vulnérables les versions 19.0.x antérieures à 19.0.3, les versions 19.1.x antérieures à 19.1.1, ainsi que toutes les versions antérieures à 18.11.6. Les failles corrigées exposent les utilisateurs à une atteinte à la confidentialité des données, à un contournement de la politique de sécurité, à des falsifications de requêtes côté serveur (SSRF) et à des injections de code indirectes à distance (XSS). Au total, treize identifiants CVE sont listés, de CVE-2026-0934 à CVE-2026-8330.

Recommandations immédiates

Dans les deux cas, le CERT-FR invite les administrateurs et les utilisateurs à appliquer sans délai les correctifs fournis par les éditeurs. Pour CPython, la mise à jour de l'interpréteur vers la version la plus récente est impérative. Pour GitLab, l'installation des versions 19.0.3, 19.1.1 ou 18.11.6, selon la branche employée, est recommandée. Ces correctifs sont accessibles via les canaux officiels des éditeurs respectifs.

Contexte de vigilances accrues

Ces publications s'inscrivent dans une série d'alertes émises par le CERT-FR ces dernières semaines, qui couvrent des produits tels que Spring, Cisco, Drupal, Splunk ou encore Redmine. La multiplication des avis témoigne d'une attention soutenue portée aux logiciels utilisés dans les chaînes de développement et les infrastructures critiques. Les équipes de sécurité sont invitées à maintenir une veille active et à intégrer ces mises à jour dans leurs processus de gestion des correctifs.