Alerte sécurité – failles critiques corrigées dans GitLab

GitLab a publié une mise à jour de sécurité corrigeant plusieurs vulnérabilités, dont deux failles critiques permettant l’exécution de code malveillant dans le navigateur des utilisateurs.

Vulnérabilités principales

• CVE-2025-0475 (CVSS 8.7) – XSS dans k8s proxy endpoint, exploitée via un lien piégé pour exécuter du JavaScript malveillant.
• CVE-2025-0555 (CVSS 7.7) – XSS dans Maven Dependency Proxy, permettant l’injection de scripts malveillants et la compromission des sessions utilisateur.

Risques identifiés

• Vol de session et accès non autorisé aux comptes,
• Altération de l’affichage des pages GitLab,
• Redirection vers des sites frauduleux (phishing, exfiltration de données).

Autres vulnérabilités corrigées :
CVE-2024-8186, CVE-2024-10925, CVE-2025-0307 (accès non autorisé à des fichiers sensibles, exposition de données).

Mesures recommandées

• Mettre à jour GitLab vers 17.9.1, 17.8.4 ou 17.7.6 (CE et EE) – Update | GitLab
• Vérifier les permissions et l’accès aux proxys,
• Renforcer la surveillance des activités suspectes.

Ne tardez pas à patcher vos instances GitLab !

Partager :

• Partager cette page sur Linkedin
• Imprimer