HIGHCVE-2026-7377CVSS 8.7

CVE-2026-7377: XSS dans GitLab 18.7 à 18.11.3

Plateforme

gitlab

Composant

gitlab

Corrigé dans

18.11.3

Voir sur NVD

Sauvegarder

Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans GitLab EE. Cette faille, présente dans les versions de GitLab EE comprises entre 18.7 et 18.11.3, permet à un utilisateur authentifié d'exécuter du code JavaScript arbitraire dans le navigateur d'autres utilisateurs, via l'exploitation des tableaux de bord d'analyse personnalisés. GitLab a corrigé cette vulnérabilité et recommande l'application de la version 18.11.3 ou supérieure.

Impact et Scénarios d'Attaque

L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript malveillant dans les tableaux de bord d'analyse personnalisés de GitLab. Lorsqu'un autre utilisateur accède à ce tableau de bord, le code malveillant s'exécute dans son contexte de navigateur. Cela peut permettre à l'attaquant de voler des cookies de session, de rediriger l'utilisateur vers un site web malveillant, ou de modifier le contenu de la page web affichée. Le risque est accru si les tableaux de bord d'analyse sont largement utilisés et partagés au sein de l'organisation, car l'attaquant pourrait potentiellement compromettre un grand nombre d'utilisateurs avec une seule attaque. Cette vulnérabilité est similaire à d'autres failles XSS qui ont permis le vol d'informations sensibles et la prise de contrôle de comptes.

Contexte d'Exploitation

La vulnérabilité CVE-2026-7377 a été publiée le 14 mai 2026. Sa sévérité est classée comme Haute (CVSS 8.7). Il n'y a pas d'indication actuelle que cette vulnérabilité soit activement exploitée dans des campagnes ciblées, mais la nature de XSS la rend potentiellement vulnérable à des attaques opportunistes. Il n'y a pas d'entrée sur KEV ou d'EPSS score disponible à ce jour.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu

CISA KEVNO

Exposition InternetÉlevée

Rapports1 rapport de menace

CISA SSVC

Exploitationnone

Automatisableno

Impact Techniquetotal

Vecteur CVSS

Que signifient ces métriques?

Attack Vector: Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity: Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required: Faible — tout compte utilisateur valide est suffisant.
User Interaction: Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope: Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality: Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity: Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability: Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantgitlab

FournisseurGitLab

Version minimale18.7.0

Version maximale18.11.3

Corrigé dans18.11.3

Classification de Faiblesse (CWE)

CWE-79

Chronologie

Réservé2026-04-29
Publiée2026-05-14

Mitigation et Contournements

La mitigation principale consiste à mettre à jour GitLab EE vers la version 18.11.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement les tableaux de bord d'analyse personnalisés ou de restreindre l'accès à ces fonctionnalités aux utilisateurs de confiance. En attendant la mise à jour, une configuration de Content Security Policy (CSP) stricte peut aider à atténuer le risque en limitant les sources de scripts autorisées. Examinez également les logs GitLab pour détecter toute activité suspecte liée à l'injection de scripts. Après la mise à jour, vérifiez que les tableaux de bord d'analyse personnalisés fonctionnent correctement et qu'aucun script malveillant n'est présent.

Comment corrigertraduction en cours…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior. Esta actualización corrige una vulnerabilidad de Cross-Site Scripting (XSS) en los paneles analíticos personalizables, evitando la ejecución de código JavaScript malicioso en el navegador de otros usuarios.

Questions fréquentes

Quel est le CVE-2026-7377 — XSS dans GitLab ?

CVE-2026-7377 est une vulnérabilité de Cross-Site Scripting (XSS) dans GitLab EE, permettant l'exécution de JavaScript arbitraire dans les tableaux de bord d'analyse personnalisés. Elle affecte les versions 18.7 à 18.11.3.

Suis-je affecté par le CVE-2026-7377 dans GitLab ?

Vous êtes affecté si vous utilisez GitLab EE dans les versions comprises entre 18.7 et 18.11.3 et que vous utilisez des tableaux de bord d'analyse personnalisés.

Comment corriger le CVE-2026-7377 dans GitLab ?

La correction consiste à mettre à jour GitLab EE vers la version 18.11.3 ou supérieure. En attendant, désactivez les tableaux de bord personnalisés ou configurez une CSP stricte.

Le CVE-2026-7377 est-il activement exploité ?

Il n'y a pas d'indication actuelle d'une exploitation active, mais la nature de XSS rend la vulnérabilité potentiellement exploitable.

Où puis-je trouver l'avis officiel de GitLab pour le CVE-2026-7377 ?

Consultez le site web de GitLab pour l'avis de sécurité correspondant à CVE-2026-7377 : [https://about.gitlab.com/security/](https://about.gitlab.com/security/)

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement Rechercher des CVE

en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

Parcourir les fichiers