GitLab - CVE-2026-4922

Il s'agit d'une vulnérabilité de type falsification de requête inter-sites (CSRF) dans l'API GraphQL de GitLab CE/EE.

GitLab est une plateforme DevSecOps intégrée qui couvre la gestion du code source, l'intégration et la livraison continues, la sécurité applicative et la gestion de projet. Elle est disponible en version auto-hébergée (CE et EE) et en version SaaS.

La protection CSRF est insuffisante sur le point d'entrée /api/graphql : le serveur accepte des requêtes GraphQL sans valider la présence ou la validité d'un jeton anti-CSRF. Un attaquant non authentifié peut construire une page web malveillante qui, une fois visitée par un utilisateur authentifié sur la même instance GitLab, déclenche des mutations GraphQL arbitraires au nom de cet utilisateur et dans le contexte de sa session. Les mutations accessibles dépendent du rôle de la victime : modification de dépôts, suppression de ressources, récupération de secrets CI/CD, altération de pipelines.

Elle permet à un attaquant distant sans authentification préalable d'exécuter des actions privilégiées sur l'instance GitLab en usurpant la session d'un utilisateur légitime, avec un impact potentiel sur la confidentialité et l'intégrité de l'ensemble des ressources accessibles à la victime.