Résumé
Le 9 septembre 2025, le CERT-FR a signalé plusieurs vulnérabilités critiques dans GitLab, affectant les versions Community Edition (CE) et Enterprise Edition (EE) antérieures aux versions 18.1.6, 18.2.6 et 18.3.2. Ces failles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données, ainsi qu’une falsification de requêtes côté serveur (SSRF).
Solutions
GitLab a publié des correctifs de sécurité dans les versions 18.1.6, 18.2.6 et 18.3.2 pour corriger ces vulnérabilités. Il est fortement recommandé à tous les utilisateurs de mettre à jour immédiatement leurs instances pour se protéger contre ces attaques.
La faille est activement exploitée : Oui
Details techniques
Risques : Atteinte à la confidentialité des données
Déni de service à distance
Falsification de requêtes côté serveur (SSRF)
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions 18.2.x antérieures à 18.2.6
- GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions 18.3.x antérieures à 18.3.2
- GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions antérieures à 18.1.6
Documentation
- Bulletin de sécurité GitLab du 10 septembre 2025
https://about.gitlab.com/releases/2025/09/10/patch-release-gitlab-18-3-2-released/
- Référence CVE CVE-2025-10094
https://www.cve.org/CVERecord?id=CVE-2025-10094
- Référence CVE CVE-2025-1250
https://www.cve.org/CVERecord?id=CVE-2025-1250
- Référence CVE CVE-2025-2256
https://www.cve.org/CVERecord?id=CVE-2025-2256
- Référence CVE CVE-2025-6454
https://www.cve.org/CVERecord?id=CVE-2025-6454
- Référence CVE CVE-2025-6769
https://www.cve.org/CVERecord?id=CVE-2025-6769
- Référence CVE CVE-2025-7337
https://www.cve.org/CVERecord?id=CVE-2025-7337