GitLab - CVE-2025-13929
Date de publication :
Il s’agit d’une vulnérabilité dans les points d’accès de téléchargement d’archives de dépôt de GitLab CE et GitLab EE.
GitLab CE et GitLab EE sont des plateformes DevSecOps permettant l’hébergement de dépôts Git, la collaboration de développement et l’exécution de pipelines CI/CD.
Des requêtes spécialement forgées peuvent être envoyées par un utilisateur non authentifié vers ces endpoints et provoquer une consommation de ressources non maîtrisée dans certaines conditions lors du traitement de la demande.
Elle permet un déni de service à distance de l’instance affectée.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Déni de service (à distance)
Exploitation
CWE-770 : Allocation of Resources Without Limits or Throttling
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• GitLab CE/EE versions 10.0 et antérieures à 18.7.6.
• GitLab CE/EE versions 18.8 et antérieures à 18.8.6.
• GitLab CE/EE versions 18.9 et antérieures à 18.9.2.
Solutions ou recommandations
• GitLab CE/EE versions 18.8.6 et supérieures.
• GitLab CE/EE versions 18.9.2 et supérieures.