Origine : bjCSIRT
Numéro : 2025/ALERTE/008
Date de l’alerte : 26/01/2025
APERÇU :
Une vulnérabilité dans GitLab CE/EE permettrait à un acteur malveillant d’injecter des scripts, compromettant la confidentialité et l’intégrité des données des utilisateurs.
DESCRIPTION :
GitLab est une plateforme DevOps complète permettant de gérer l’ensemble du cycle de vie des applications, de la planification au déploiement.
Cette plateforme est affectée par une vulnérabilité libellée CVE-2025-0314 qui résulte d’un défaut de rendu dans le composant Asciidoctor. Elle consiste à injecter du script malveillant pour modifier le fonctionnement d’une plateforme via des attaques de type Cross-Site Scripting (XSS).
L’exploitation de cette vulnérabilité permettrait à un acteur malveillant de compromettre des données sensibles, de détourner les utilisateurs vers des sites frauduleux ou de modifier l’apparence de la plateforme.
Cette vulnérabilité est classée critique avec un score de sévérité de 8.7 selon le CVSS v3.1.
IMPACT :
- Vol de données sensibles ;
- Injection de code ;
- Compromission de la confidentialité et de l’intégrité des données.
SYSTÈMES AFFECTÉS :
- GitLab CE/EE de la version 17.2 à la version 17.6.3
- GitLab CE/EE versions 17.7.x antérieures à 17.7.3
- GitLab CE/EE versions 17.8.x antérieures à 17.8.1
MESURES À PRENDRE :
Mettre à jour GitLab CE/EE vers les versions 17.6.4, 17.7.3, 17.8.1 ou ultérieure.
RÉFÉRENCES :
