Multiples vulnérabilités dans GitLab : le CERT-FR émet un…

Multiples vulnérabilités corrigées dans GitLab Community et Enterprise Edition

Le CERT-FR a émis un avis le 25 juin 2026 concernant plusieurs failles de sécurité affectant GitLab. Les versions concernées doivent être mises à jour pour prévenir des risques d’atteinte à la confidentialité des données et d’injection de code.

Publié le 25 juin 2026 à 12h14 · Mis à jour il y a 1 heure · 2 min de lecture

L’équipe gouvernementale de réponse aux incidents informatiques (CERT-FR) a publié un nouvel avis de sécurité le 25 juin 2026, identifiant de multiples vulnérabilités dans la plateforme de développement collaboratif GitLab. Les risques associés à ces failles incluent une atteinte à la confidentialité des données, un contournement de la politique de sécurité, une falsification de requêtes côté serveur (SSRF) et une injection de code indirecte à distance (XSS).

Versions impactées

L’avis précise que les éditions Community Edition (CE) et Enterprise Edition (EE) sont concernées. Les versions 19.0.x antérieures à la 19.0.3, les versions 19.1.x antérieures à la 19.1.1, ainsi que toutes les versions antérieures à la 18.11.6 sont vulnérables. Les administrateurs système sont invités à appliquer sans délai les correctifs fournis par l’éditeur.

Correctifs disponibles

GitLab a publié un bulletin de sécurité en date du 24 juin 2026, détaillant les mises à jour nécessaires. Les correctifs colmatent au total treize failles recensées sous les identifiants CVE-2026-0934, CVE-2026-10086, CVE-2026-10712, CVE-2026-11379, CVE-2026-12053, CVE-2026-12635, CVE-2026-1606, CVE-2026-2238, CVE-2026-3176, CVE-2026-5309, CVE-2026-5796, CVE-2026-5952 et CVE-2026-8330. Le CERT-FR recommande de se référer à la documentation officielle de l’éditeur pour l’obtention des mises à jour.

Contexte et précédents récents

Cet avis s’inscrit dans une série de publications régulières du CERT-FR. Au cours du mois de juin 2026, l’organisme a déjà alerté sur des vulnérabilités touchant des produits tels que Spring, MongoDB, Splunk, LibreNMS, Suricata, Cisco, Drupal, Mitel, Oracle PeopleSoft, Nginx, Atlassian, Node.js, IBM, cURL et Tenable Identity Exposure. La réactivité des éditeurs et des utilisateurs finaux est cruciale pour limiter les risques d’exploitation.

Recommandations

Les équipes techniques sont invitées à vérifier la version de leur instance GitLab et, si nécessaire, à réaliser une mise à niveau vers les versions corrigées dès que possible. Aucune information relative à une exploitation active de ces vulnérabilités n’a été communiquée à ce stade.

Multiples vulnérabilités corrigées dans GitLab Community et Enterprise Edition

Évolution du sujet

À lire ensuite

Cellebrite affirme avoir coupé les ponts avec la Russie, mais ses outils auraient été utilisés contre un oppos...

La start-up française Alan lève 480 millions d'euros pour devenir le leader mondial de l'assurance prévention

Fuite de données massive chez un géant américain de l'assurance : 73 millions de clients concernés

Avec Cartes.gouv.fr, l’État français unifie sa cartographie et lance un concurrent souverain à Google Maps