GitLab corrige une faille XSS de haute gravité (CVE-2025-0376) et d’autres failles de sécurité dans sa dernière version

  • Accueil
  • Non classé
  • GitLab corrige une faille XSS de haute gravité (CVE-2025-0376) et d’autres failles de sécurité dans sa dernière version

GitLab corrige une faille XSS de haute gravité (CVE-2025-0376) et d’autres failles de sécurité dans sa dernière version

GitLab a publié un avis de sécurité, exhortant les utilisateurs à mettre à jour immédiatement leurs installations pour remédier à une série de vulnérabilités, notamment une faille de script intersite (XSS) de gravité élevée. La mise à jour, qui couvre les versions 17.8.2, 17.7.4 et 17.6.5 pour GitLab Community Edition (CE) et Enterprise Edition (EE), comprend des correctifs pour un total de neuf problèmes de sécurité.

La vulnérabilité la plus grave, identifiée comme CVE-2025-0376, est une faille XSS de gravité élevée qui pourrait permettre à un attaquant d’exécuter des actions non autorisées via une page de modification. Selon l’ avis , « une vulnérabilité XSS existe dans GitLab CE/EE affectant toutes les versions de 13.3 avant 17.6.5, 17.7 avant 17.7.4 et 17.8 avant 17.8.2 qui permet à un attaquant d’exécuter des actions non autorisées via une page de modification ». Cette vulnérabilité a un score CVSSv3.1 de 8,7, ce qui indique son impact potentiel élevé.

En plus de la faille XSS, la mise à jour corrige également plusieurs vulnérabilités de gravité moyenne, notamment :

  • Déni de service en raison de la création de symboles illimités (CVE-2024-12379) : un attaquant pourrait exploiter cette vulnérabilité pour affecter la disponibilité de GitLab en déclenchant la création de symboles illimités.
  • Exfiltration de contenu de problèmes privés à l’aide d’une injection rapide (CVE-2024-3303) : cette vulnérabilité pourrait permettre à un attaquant d’accéder et de voler du contenu de problèmes privés.
  • Accès non autorisé aux référentiels (CVE-2025-1042) : une vulnérabilité de référence d’objet directe non sécurisée pourrait permettre aux attaquants d’afficher les référentiels sans autorisation.
  • Fuite d’en-tête HTTP interne (CVE-2025-1212) : les attaquants pourraient exploiter cette faille pour révéler des informations sensibles en envoyant une requête spécialement conçue au serveur principal.
  • Falsification de requête côté serveur (SSRF) via les espaces de travail (CVE-2024-9870) : cette vulnérabilité pourrait permettre aux attaquants d’envoyer des requêtes depuis le serveur GitLab vers des services non prévus.
  • Fermeture et suppression d’incidents non autorisés (CVE-2025-0516) : les utilisateurs disposant d’autorisations limitées peuvent potentiellement fermer ou supprimer des incidents sans autorisation appropriée.
  • Problème d’invalidation du jeton ActionCable (CVE-2025-1198) : les jetons d’accès personnels révoqués peuvent toujours avoir accès aux résultats de streaming en raison de connexions de longue durée dans ActionCable.

GitLab recommande vivement à tous les utilisateurs de mettre à jour leurs versions vers les dernières versions (17.8.2, 17.7.4 ou 17.6.5) dès que possible pour atténuer ces risques de sécurité. Les mises à jour sont disponibles en téléchargement sur le site Web de GitLab.

Post Your Comment

Abonnez-vous à notre newsletter

En vous abonnant à notre newsletter, vous serez toujours informé des dernières actualités, offres exclusives et conseils personnalisés, directement dans votre boîte de réception.

Transformez vos ambitions, en Compétences Professionnelles

Facebook-square Linkedin Youtube
Formations
Services
Nous Contacter