Skip to content
hacker_posts

GitLab corrige 13 failles (CERTFR-2026-AVI-0799) : XSS critique et fuite Duo Workflows

Le CERT-FR répercute le palier GitLab du 24 juin : versions 19.1.1, 19.0.3 et 18.11.6 colmatent 13 vulnérabilités, dont trois critiques côté EE.

Publié le 4 min de lecture
cvegitlabalertecert-fr

Le CERT-FR a publié le 25 juin 2026 l'avis CERTFR-2026-AVI-0799 qui répercute le palier de sécurité GitLab du 24 juin. Les versions 19.1.1, 19.0.3 et 18.11.6 (Community et Enterprise Edition) corrigent 13 vulnérabilités, dont trois de sévérité haute. GitLab.com tourne déjà sur le palier patché ; les installations self-managed sont la cible à traiter.

Versions concernées

Selon l'avis CERTFR-2026-AVI-0799 :

  • GitLab CE/EE 19.1.x antérieures à 19.1.1
  • GitLab CE/EE 19.0.x antérieures à 19.0.3
  • GitLab CE/EE antérieures à 18.11.6

Les branches plus anciennes — 18.10 et antérieures — ne reçoivent pas de correctif dans ce palier. Si vous y êtes resté, la mise à jour vers une branche supportée est la seule voie.

CVE-2026-10086 — XSS critique dans l'Analytics Dashboard (EE)

La vulnérabilité CVE-2026-10086 touche l'Analytics Dashboard d'Enterprise Edition. Un attaquant disposant du rôle Developer ou supérieur sur un projet peut injecter un script malicieux dans le tableau de bord ; lorsqu'un utilisateur aux privilèges suffisants consulte la vue, le script s'exécute dans son contexte. Les scénarios documentés incluent le vol de session, l'escalade de privilèges et l'accès à des données sensibles côté visiteur.

Le pré-requis « Developer ou supérieur » réduit la surface aux contributeurs internes ou aux comptes de service compromis — mais c'est précisément le profil que les campagnes de supply chain GitHub/GitLab récentes cherchent à récupérer.

CVE-2026-12053 — Fuite d'information via Duo Workflows

CVE-2026-12053 est une filtration de sortie insuffisante dans Duo Workflows, la fonctionnalité d'automatisation IA introduite récemment dans GitLab. Le défaut permet à un utilisateur d'accéder à des informations sensibles déjà committed sur un projet — typiquement, des secrets ou des données métier qu'un workflow Duo aurait dû filtrer dans sa sortie. C'est exactement la classe de bug que les opérateurs LLM redoutent : la chaîne d'inférence rend visible ce que le contrôle d'accès projet voulait masquer.

Autres vulnérabilités du palier

Outre les deux failles ci-dessus et la troisième de sévérité haute non détaillée publiquement dans le palier, l'avis et la note de version GitLab listent sept vulnérabilités de sévérité moyenne touchant principalement le contrôle d'accès et la validation d'entrée :

  • Contournement d'autorisation et autorisation incorrecte (plusieurs entrées).
  • Filtrage de sortie insuffisant.
  • Validation d'entrée incorrecte.
  • Contrôle d'accès défaillant.

Les CVE référencées par l'avis incluent notamment CVE-2026-0934, CVE-2026-1606, CVE-2026-2238, CVE-2026-3176, CVE-2026-5309, CVE-2026-10712, CVE-2026-11379 et CVE-2026-12635.

Statut d'exploitation

Au 26 juin, aucune exploitation publique en conditions réelles n'est documentée pour les CVE de l'avis CERTFR-2026-AVI-0799. Aucun PoC n'a été publié au moment où GitLab a poussé le palier. La note de version GitLab applique l'embargo habituel : les détails techniques (issues HackerOne et tickets internes) ne sont rendus publics que 30 jours après la sortie du correctif.

Cette fenêtre d'embargo est aussi la fenêtre de risque maximal : les opérateurs self-managed qui n'ont pas patché à 30 jours se retrouvent exposés à des PoC publiés à l'échéance.

Que faire

  1. Mettre à niveau dès aujourd'hui vers 19.1.1, 19.0.3 ou 18.11.6 selon la branche en production. La page des paliers de correctifs recense la chaîne complète des releases.
  2. Vérifier la version GitLab Runner et les intégrations associées (Duo, Geo, Pages). Une mise à jour de l'instance principale sans le palier correspondant des composants annexes laisse une dette de patching.
  3. Auditer les comptes au rôle Developer et au-dessus sur les projets EE. CVE-2026-10086 est exploitable depuis ce périmètre — un compte de service oublié, un bot de CI mal scopé, un ancien employé non désactivé sont les vecteurs probables.
  4. Si Duo Workflows est activé, lister les workflows qui touchent à des projets contenant des secrets, et vérifier dans les logs de runner les Duo workflow runs postérieurs à la branche concernée. CVE-2026-12053 ne laisse pas de trace d'attaque évidente — l'audit porte sur l'usage normal.
  5. Désactiver l'Analytics Dashboard temporairement si le palier ne peut pas être déployé dans la journée. C'est la mitigation par défaut pour CVE-2026-10086 sur EE.
  6. Périmètre NIS2 : l'avis CERTFR-2026-AVI-0799 est la référence à citer dans le suivi du délai de traitement.

Contexte

Les paliers GitLab tombent quasi mensuellement et le CERT-FR les répercute dès la veille pour les opérateurs francophones — cf. le palier précédent CERTFR-2026-AVI-0658 couvert il y a quelques semaines. Le rythme de divulgation après embargo de 30 jours impose une cadence simple : patcher à J+1, pas à J+30. La fenêtre de PoC arrive avant la fin du mois.

Articles liés