HIGHCVE-2026-7481CVSS 8.7

CVE-2026-7481: XSS dans GitLab 16.4.0–18.11.3

Plateforme

gitlab

Composant

gitlab

Corrigé dans

18.11.3

Voir sur NVD

Sauvegarder

Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans GitLab EE. Cette faille permet à un utilisateur authentifié disposant des permissions de développeur d'exécuter du code JavaScript arbitraire dans le navigateur d'autres utilisateurs. Elle affecte les versions de GitLab EE comprises entre 16.4.0 et 18.11.3, ainsi que 18.10 avant 18.10.6 et 18.11 avant 18.11.3. La mise à jour vers la version 18.11.3 corrige cette vulnérabilité.

Impact et Scénarios d'Attaque

L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web consultées par d'autres utilisateurs GitLab. Cela peut conduire au vol de cookies de session, permettant à l'attaquant de se faire passer pour la victime et d'accéder à des informations sensibles, telles que des données de projet, des informations de configuration et des communications internes. Dans un contexte de développement collaboratif, un attaquant pourrait également manipuler l'interface utilisateur pour induire en erreur les autres développeurs ou compromettre le processus de build et de déploiement. L'impact est amplifié si l'attaquant peut compromettre un compte disposant de privilèges d'administrateur, lui donnant un contrôle total sur l'instance GitLab.

Contexte d'Exploitation

La vulnérabilité CVE-2026-7481 a été publiée le 14 mai 2026. Sa sévérité est classée comme élevée (CVSS 8.7). Il n'y a pas d'indication actuelle que cette vulnérabilité soit activement exploitée dans la nature, mais la présence d'une vulnérabilité XSS dans un outil de collaboration largement utilisé comme GitLab justifie une attention particulière. Des preuves publiques d'exploitation (POC) sont susceptibles d'émerger rapidement après la publication de la vulnérabilité.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu

CISA KEVNO

Exposition InternetÉlevée

Rapports1 rapport de menace

CISA SSVC

Exploitationnone

Automatisableno

Impact Techniquetotal

Vecteur CVSS

Que signifient ces métriques?

Attack Vector: Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity: Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required: Faible — tout compte utilisateur valide est suffisant.
User Interaction: Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope: Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality: Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity: Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability: Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantgitlab

FournisseurGitLab

Version minimale16.4.0

Version maximale18.11.3

Corrigé dans18.11.3

Classification de Faiblesse (CWE)

CWE-79

Chronologie

Réservé2026-04-30
Publiée2026-05-14

Mitigation et Contournements

La solution la plus efficace consiste à mettre à jour GitLab EE vers la version 18.11.3 ou supérieure. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à restreindre les permissions des utilisateurs, en limitant l'accès aux fonctionnalités qui pourraient être exploitées. L'implémentation de politiques de sécurité de contenu (CSP) peut également aider à atténuer le risque en limitant les sources de scripts autorisées à s'exécuter dans le navigateur. Surveillez attentivement les journaux d'audit GitLab pour détecter toute activité suspecte, en particulier les tentatives d'injection de scripts. Après la mise à jour, vérifiez l'intégrité des fichiers système et examinez les journaux d'événements pour détecter toute anomalie.

Comment corrigertraduction en cours…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).  Esta actualización corrige la falta de sanitización adecuada de la entrada, previniendo la ejecución de código JavaScript malicioso en el navegador de otros usuarios.

Questions fréquentes

What is CVE-2026-7481 — XSS dans GitLab ?

CVE-2026-7481 est une vulnérabilité de Cross-Site Scripting (XSS) dans GitLab EE, permettant à un utilisateur authentifié d'exécuter du JavaScript arbitraire dans le navigateur d'autres utilisateurs.

Am I affected by CVE-2026-7481 in GitLab ?

Vous êtes affecté si vous utilisez GitLab EE dans les versions comprises entre 16.4.0 et 18.11.3, ou 18.10 avant 18.10.6 et 18.11 avant 18.11.3.

How do I fix CVE-2026-7481 in GitLab ?

Mettez à jour GitLab EE vers la version 18.11.3 ou supérieure. En attendant, restreignez les permissions des utilisateurs et implémentez des politiques CSP.

Is CVE-2026-7481 being actively exploited?

Il n'y a pas d'indication actuelle d'exploitation active, mais la vulnérabilité est considérée comme sérieuse et des POC pourraient émerger rapidement.

Where can I find the official GitLab advisory for CVE-2026-7481?

Consultez le site web de GitLab pour l'avis officiel concernant CVE-2026-7481 : [https://about.gitlab.com/security/advisories/](https://about.gitlab.com/security/advisories/)

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement Rechercher des CVE

en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

Parcourir les fichiers