Scanner gratuitement
HIGHCVE-2025-14870CVSS 7.5

CVE-2025-14870: DoS in GitLab

Plateforme

gitlab

Composant

gitlab

Corrigé dans

18.11.3

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2025-14870 affecte GitLab CE/EE. Elle permet à un utilisateur non authentifié de provoquer un déni de service (DoS) en exploitant une insuffisance de validation des entrées lors du traitement de charges utiles JSON malformées. Cette faille touche les versions de GitLab comprises entre 18.5 et 18.11.3, à l'exception des versions corrigées 18.9.7, 18.10.6 et 18.11.3. La mise à jour vers la dernière version corrigée est recommandée.

Impact et Scénarios d'Attaque

Un attaquant peut exploiter cette vulnérabilité pour submerger le serveur GitLab de requêtes malformées, entraînant une indisponibilité du service pour les utilisateurs légitimes. L'impact principal est donc un déni de service, empêchant l'accès aux fonctionnalités de GitLab. Bien que l'attaquant ne puisse pas accéder aux données sensibles, la perturbation du service peut avoir des conséquences significatives pour les équipes de développement et les utilisateurs qui dépendent de GitLab pour la gestion de leurs projets. Le risque est exacerbé par le fait que l'exploitation ne nécessite aucune authentification, rendant la vulnérabilité accessible à un large éventail d'attaquants.

Contexte d'Exploitation

La vulnérabilité CVE-2025-14870 a été publiée le 14 mai 2026. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de l'absence d'authentification requise. Aucune preuve d'exploitation active n'a été signalée à ce jour, mais la disponibilité d'une preuve de concept (POC) publique pourrait modifier cette évaluation. Consultez la base de données NVD et les alertes CISA pour les mises à jour.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

CISA SSVC

Exploitationnone
Automatisableyes
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H7.5HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityNoneRisque d'exposition de données sensiblesIntegrityNoneRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Aucun — aucun impact sur la confidentialité.
Integrity
Aucun — aucun impact sur l'intégrité.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantgitlab
FournisseurGitLab
Version minimale18.5.0
Version maximale18.11.3
Corrigé dans18.11.3

Classification de Faiblesse (CWE)

CWE-770

Chronologie

  1. Réservé
  2. Publiée

Mitigation et Contournements

La solution la plus efficace consiste à mettre à jour GitLab vers la version 18.11.3 ou une version ultérieure qui corrige cette vulnérabilité. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en place. Il est possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes JSON suspectes. De plus, une surveillance accrue des journaux d'accès de GitLab peut aider à détecter les tentatives d'exploitation. Vérifiez également la configuration de GitLab pour vous assurer que la validation des entrées est activée et correctement configurée. Après la mise à jour, confirmez l'absence de la vulnérabilité en effectuant des tests de charge et en surveillant les performances du serveur.

Comment corrigertraduction en cours…

Actualice GitLab a la versión 18.9.7 o posterior, 18.10.6 o posterior, o 18.11.3 o posterior para mitigar la vulnerabilidad. Esta actualización aborda la falta de validación de entrada que permitía a usuarios no autenticados causar una denegación de servicio a través de payloads JSON maliciosos.

Questions fréquentes

Que signifie CVE-2025-14870 — DoS dans GitLab ?

CVE-2025-14870 décrit une vulnérabilité de type déni de service (DoS) dans GitLab, permettant à un attaquant non authentifié de rendre le service indisponible.

Suis-je affecté par CVE-2025-14870 dans GitLab ?

Si vous utilisez GitLab CE/EE dans les versions 18.5.0–18.11.3 (avant 18.9.7, 18.10.6 et 18.11.3), vous êtes potentiellement affecté.

Comment corriger CVE-2025-14870 dans GitLab ?

La solution recommandée est de mettre à jour GitLab vers la version 18.11.3 ou une version ultérieure corrigée.

CVE-2025-14870 est-il activement exploité ?

À ce jour, aucune preuve d'exploitation active n'a été signalée, mais la vulnérabilité reste un risque potentiel.

Où puis-je trouver l'avis officiel de GitLab pour CVE-2025-14870 ?

Consultez le site web de GitLab pour l'avis de sécurité correspondant à CVE-2025-14870.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...