GitLab - CVE-2026-3857
Date de publication :
Il s'agit d'une vulnérabilité dans la protection CSRF de l'API GLQL (GitLab Query Language) de GitLab CE/EE. L'API GraphQL de GitLab accepte des requêtes sans vérifier la présence d'un jeton CSRF valide.
GitLab est une plateforme DevSecOps intégrée pour la gestion du code source, l'intégration et le déploiement continus, la gestion de projets et la sécurité applicative. Elle est disponible en édition Community (CE) et Enterprise (EE), en mode SaaS ou auto-hébergé.
Un attaquant non authentifié crée une page web malveillante qui déclenche, au chargement ou sur interaction, une requête HTTP cross-origin vers l'instance GitLab de la victime. Si un utilisateur authentifié visite cette page, son navigateur transmet automatiquement ses cookies de session, ce qui permet à la requête forgée d'être exécutée avec ses droits. Toute mutation GraphQL devient alors réalisable en son nom, sans qu'il en ait connaissance.
Elle permet à un attaquant non authentifié d'exécuter des mutations GraphQL arbitraires avec les droits d'un utilisateur authentifié, donnant accès en lecture et en écriture aux ressources GitLab de ce dernier.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-352 : Cross-Site Request Forgery (CSRF)
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• GitLab CE/EE versions 17.10 jusqu'à 18.8.6 incluse.
• GitLab CE/EE versions 18.9 antérieures à 18.9.3.
• GitLab CE/EE versions 18.10 antérieures à 18.10.1.