CERTFR-2025-AVI-0015_Multiples vulnerabilites dans GitLab

AVIS CERT

CERT-FR

Publié le 9 janvier 2025 à 16h09 - Mis à jour le 7 février 2025 à 09h02

Objet

Multiples vulnérabilités dans GitLab

Référence

CERTFR-2025-AVI-0015

Risque(s)

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Déni de service à distance

Système(s) affecté(s)

GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions 17.5.x antérieures à 17.5.5
GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions 17.6.x antérieures à 17.6.3
GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions 17.7.x antérieures à 17.7.1

Résumé

De multiples vulnérabilités ont été découvertes dans GitLab. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité GitLab du 08 janvier 2025 : https://about.gitlab.com/releases/2025/01/08/patch-release-gitlab-17-7-1-released/
Référence CVE CVE-2024-12431 : https://www.cve.org/CVERecord?id=CVE-2024-12431
Référence CVE CVE-2024-13041 : https://www.cve.org/CVERecord?id=CVE-2024-13041
Référence CVE CVE-2024-6324 : https://www.cve.org/CVERecord?id=CVE-2024-6324
Référence CVE CVE-2025-0194 : https://www.cve.org/CVERecord?id=CVE-2025-0194

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0015/