CERTFR-2025-AVI-0164_Multiples vulnerabilites dans GitLab

AVIS CERT

CERT-FR

Publié le 27 février 2025 à 12h00 - Mis à jour le 28 février 2025 à 17h20

Objet

Multiples vulnérabilités dans GitLab

Référence

CERTFR-2025-AVI-0164

Risque(s)

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Injection de code indirecte à distance (XSS)

Système(s) affecté(s)

GitLab Community Edition (CE) et Enterprise Edition (EE) versions 17.8.x antérieures à 17.8.4
GitLab Community Edition (CE) et Enterprise Edition (EE) versions 17.9.x antérieures à 17.9.1
GitLab Community Edition (CE) et Enterprise Edition (EE) versions antérieures à 17.7.6

Résumé

De multiples vulnérabilités ont été découvertes dans GitLab. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité GitLab du 26 février 2025 : https://about.gitlab.com/releases/2025/02/26/patch-release-gitlab-17-9-1-released/
Référence CVE CVE-2024-10925 : https://www.cve.org/CVERecord?id=CVE-2024-10925
Référence CVE CVE-2024-8186 : https://www.cve.org/CVERecord?id=CVE-2024-8186
Référence CVE CVE-2025-0307 : https://www.cve.org/CVERecord?id=CVE-2025-0307
Référence CVE CVE-2025-0475 : https://www.cve.org/CVERecord?id=CVE-2025-0475
Référence CVE CVE-2025-0555 : https://www.cve.org/CVERecord?id=CVE-2025-0555

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0164/