GitLab - CVE-2026-10087
Date de publication :
Date de mise à jour :
Plateforme DevOps permettant la gestion du code source, l’intégration continue et le déploiement continu (CI/CD).
Une vulnérabilité de type Cross-Site Scripting (XSS) existe dans GitLab EE au niveau du tableau de bord Analytics, due à une mauvaise neutralisation des entrées utilisateur. Un utilisateur authentifié avec des droits de type « developer » peut injecter du code JavaScript malveillant qui sera exécuté dans le navigateur d’un utilisateur ciblé lors de la consultation du tableau de bord.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
• Injection de code indirecte (à distance) (XSS)
Exploitation
CWE-79 : Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : En attente d’information
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Solutions ou recommandations
• Mise à jour vers GitLab Enterprise Edition 18.11.5 ou version ultérieure
• Mise à jour vers GitLab Enterprise Edition 19.0.2 ou version ultérieure