Plusieurs vulnérabilités importantes dans GitLab ont été révélées au public français par l'ANSSI. Les failles permettent de mener des attaques DDoS et des injections XSS, qui menacent potentiellement la sécurité des données de millions d'utilisateurs.
Les équipes de développement de GitLab ne chôment pas en ce début de printemps 2025. Une mise à jour de sécurité critique vient d'être publiée pour corriger plusieurs vulnérabilités importantes. Le CERT-FR, via l'ANSSI, a émis une alerte officielle le 24 avril 2025. L'agence française de cybersécurité recommande aux utilisateurs de la populaire plateforme de gestion de code d'agir rapidement. Les risques ? Des attaques par injection de code et même une possible prise de contrôle des comptes.
Le CERT-FR alerte sur des injections de code dans GitLab
La plus préoccupante des vulnérabilités concerne le proxy de dépendances Maven, un composant essentiel pour de nombreuses entreprises utilisant GitLab. Deux failles distinctes de type XSS (Cross-Site Scripting) ont été identifiées. Elles permettent à des attaquants de contourner les protections de sécurité des navigateurs, et d'injecter du code malveillant. Référencées sous les identifiants CVE-2025-1763 et CVE-2025-2443, elles ont reçu un score de gravité CVSS de 8,7 sur 10, qui affectent toutes les versions GitLab depuis la 16.6.
Plus inquiétant encore, une troisième faille (CVE-2025-1908) permet l'injection d'en-têtes NEL (Network Error Logging). Cela donne aux hackers la capacité de surveiller l'activité des utilisateurs. « Cette vulnérabilité pourrait potentiellement mener à une prise de contrôle complète du compte », précise le bulletin de sécurité, avec un score CVSS sérieux de 7.7 sur 10. La faille affecte aussi toutes les versions depuis la 16.6. Un risque qui ne doit pas être pris à la légère dans un contexte où le code source représente souvent le cœur de l'activité des entreprises.
L'analyse révèle également deux vulnérabilités de gravité moyenne. L'une pouvant conduire à une attaque par déni de service (DDoS) via l'aperçu des tickets (CVE-2025-0639, score CVSS 6.5), qui affecte les versions depuis la 16.7. Et l'autre qui entraîne un accès non autorisé aux noms de branches (CVE-2024-12244, score CVSS 4.3), qui affecte les versions depuis la 17.7 lorsque certaines fonctionnalités sont désactivées. Ces failles, bien que moins critiques, pourraient néanmoins perturber le travail des équipes de développement ou exposer des informations sensibles.
Comment protéger votre instance GitLab et appliquer les correctifs
GitLab a publié, dès mercredi 23 avril, trois versions corrigées, estampillées 17.11.1, 17.10.5 et 17.9.7. « Nous recommandons fortement que toutes les installations soient mises à jour vers l'une de ces versions dès que possible », insiste l'équipe de sécurité de GitLab dans un communiqué. La recommandation s'applique à tous les types de déploiement, qu'il s'agisse d'installations Omnibus, de code source ou via Helm chart.
Les utilisateurs de GitLab.com n'ont, eux, pas à s'inquiéter, puisque la plateforme cloud a déjà été mise à jour. De même, les clients de GitLab Dedicated n'ont aucune action à entreprendre. Et pour les autres ? L'horloge tourne. La publication des détails techniques de ces vulnérabilités interviendra dans 30 jours, ce qui laisse une fenêtre d'opportunité aux attaquants pour cibler les instances non corrigées.
Ces vulnérabilités ont été découvertes par des chercheurs en sécurité depuisle programme de récompenses HackerOne de GitLab. Une preuve supplémentaire de l'importance de ces initiatives pour renforcer la sécurité des plateformes utilisées quotidiennement par des millions de développeurs à travers le monde. En tout cas, n'attendez pas pour mettre à jour votre instance GitLab, la sécurité de votre code en dépend.
