Scanner gratuitement
MEDIUMCVE-2026-4527CVSS 6.5

CVE-2026-4527: CSRF in GitLab

Plateforme

gitlab

Composant

gitlab

Corrigé dans

18.11.3

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-4527 est une faille de Cross-Site Request Forgery (CSRF) découverte dans GitLab CE/EE. Cette faille permet à un attaquant non authentifié de créer des abonnements Jira non autorisés pour le namespace d'un utilisateur ciblé, en utilisant un lien spécialement conçu. Elle affecte les versions de GitLab comprises entre 11.10 et 18.11.3, et a été corrigée dans la version 18.11.3.

Impact et Scénarios d'Attaque

Un attaquant exploitant cette vulnérabilité CSRF peut créer des abonnements Jira non autorisés pour le compte d'un utilisateur GitLab. Cela pourrait entraîner la divulgation d'informations sensibles, la modification de données Jira, ou même l'exécution d'actions en son nom. L'attaquant pourrait ainsi compromettre la gestion des projets et l'intégrité des données stockées dans Jira. Bien que l'attaquant doive créer un lien malveillant, l'absence de protection CSRF facilite grandement cette action, rendant l'exploitation relativement simple.

Contexte d'Exploitation

La vulnérabilité CVE-2026-4527 a été publiée le 14 mai 2026. Sa probabilité d'exploitation est considérée comme modérée. Il n'y a pas d'indication d'exploitation active à ce jour, ni de Proof of Concept (POC) publics largement disponibles. La CVSS score de 6.5 indique une sévérité modérée, nécessitant une attention particulière.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

CISA SSVC

Exploitationnone
Automatisableno
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N6.5MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionRequiredSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityNoneRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Aucun — aucun impact sur l'intégrité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantgitlab
FournisseurGitLab
Version minimale11.10.0
Version maximale18.11.3
Corrigé dans18.11.3

Classification de Faiblesse (CWE)

CWE-352

Chronologie

  1. Réservé
  2. Publiée

Mitigation et Contournements

La mitigation principale consiste à mettre à jour GitLab vers la version 18.11.3 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de limiter l'accès aux fonctionnalités Jira et de surveiller attentivement les abonnements Jira créés. En attendant la mise à jour, une solution de contournement pourrait consister à restreindre l'accès aux API Jira et à mettre en place des contrôles d'accès plus stricts. Après la mise à jour, vérifiez que les abonnements Jira existants sont légitimes et qu'aucun abonnement non autorisé n'a été créé.

Comment corrigertraduction en cours…

Actualice GitLab a la versión 18.9.7 o posterior, 18.10.6 o posterior, o 18.11.3 o posterior para mitigar la vulnerabilidad CSRF. Esta actualización corrige la falta de protección CSRF que permitía la creación de suscripciones de Jira no autorizadas.

Questions fréquentes

Que signifie CVE-2026-4527 — CSRF dans GitLab ?

CVE-2026-4527 est une vulnérabilité CSRF (Cross-Site Request Forgery) dans GitLab, permettant à un attaquant non authentifié de créer des abonnements Jira non autorisés. Elle affecte les versions de GitLab entre 11.10 et 18.11.3.

Suis-je affecté par CVE-2026-4527 dans GitLab ?

Vous êtes affecté si vous utilisez GitLab CE/EE dans les versions comprises entre 11.10.0 et 18.11.3. Vérifiez votre version actuelle et mettez à jour si nécessaire.

Comment corriger CVE-2026-4527 dans GitLab ?

La correction consiste à mettre à jour GitLab vers la version 18.11.3 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, limitez l'accès aux fonctionnalités Jira et surveillez les abonnements.

CVE-2026-4527 est-il activement exploité ?

À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2026-4527, ni de Proof of Concept (POC) publics largement disponibles.

Où puis-je trouver l'avis officiel de GitLab pour CVE-2026-4527 ?

Consultez l'avis de sécurité GitLab sur leur site web : [https://gitlab.com/security/security-advisories](https://gitlab.com/security/security-advisories) (remplacer par l'URL réelle de l'avis).

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...