Plateforme
gitlab
Composant
gitlab
Corrigé dans
18.8.9
18.9.5
18.10.3
La vulnérabilité CVE-2025-9484 concerne GitLab EE, où une faille permettait à un utilisateur authentifié d'accéder aux adresses email d'autres utilisateurs via des requêtes GraphQL spécifiques. Cette exposition potentielle des informations personnelles peut avoir un impact significatif sur la confidentialité des utilisateurs. Les versions affectées incluent GitLab EE 16.6 avant 18.8.9, 18.9 avant 18.9.5 et 18.10 avant 18.10.3. Une correction a été déployée dans la version 18.10.3.
La vulnérabilité CVE-2025-9484 affecte GitLab EE et permet à un utilisateur authentifié, dans certaines circonstances, d'accéder aux adresses e-mail d'autres utilisateurs via des requêtes GraphQL spécifiques. La vulnérabilité existe dans les versions de GitLab EE à partir de 16.6 jusqu'à la version 18.8.9, 18.9 avant la version 18.9.5 et 18.10 avant la version 18.10.3. L'impact potentiel est la divulgation non autorisée d'informations personnelles sensibles, ce qui pourrait entraîner des risques de confidentialité et de sécurité pour les utilisateurs concernés. Bien que l'exploitation nécessite des connaissances spécifiques de GraphQL et une configuration particulière, la possibilité d'accéder aux informations de contact d'autres utilisateurs représente une préoccupation importante. Il est crucial d'appliquer la mise à jour de sécurité fournie pour atténuer ce risque.
La vulnérabilité est exploitée par le biais de requêtes GraphQL malveillantes. Un utilisateur authentifié disposant des autorisations appropriées peut construire une requête GraphQL spécifique pour extraire les adresses e-mail d'autres utilisateurs. L'exploitation ne nécessite pas de privilèges d'administrateur, mais elle nécessite une connaissance de la structure GraphQL et la capacité de formuler des requêtes qui sélectionnent les champs d'e-mail. La probabilité d'exploitation dépend de la configuration de l'instance GitLab et de la présence d'utilisateurs disposant de l'expertise technique nécessaire pour construire ces requêtes. GitLab a mis en œuvre des mesures pour atténuer cette vulnérabilité dans les versions corrigées, en restreignant l'accès aux informations sensibles via GraphQL.
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
Pour remédier à la CVE-2025-9484, il est fortement recommandé de mettre à niveau vers GitLab EE version 18.10.3 ou ultérieure, ou vers une version ultérieure dans les branches de support 18.8 ou 18.9. La mise à jour corrige la vulnérabilité en restreignant l'accès aux adresses e-mail via les requêtes GraphQL concernées. Consultez la documentation officielle de GitLab pour obtenir des instructions détaillées sur la façon de mettre à niveau votre instance GitLab. De plus, examinez vos politiques de sécurité et d'accès pour vous assurer que seuls les utilisateurs autorisés ont accès aux informations sensibles. L'application rapide de cette mise à jour est essentielle pour protéger la confidentialité des utilisateurs et maintenir la sécurité de votre environnement GitLab.
Actualice GitLab a la versión 18.8.9 o superior, 18.9.5 o superior, o 18.10.3 o superior. Esta actualización corrige una vulnerabilidad de autorización que permitía a usuarios autenticados acceder a las direcciones de correo electrónico de otros usuarios a través de ciertas consultas GraphQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions vulnérables sont GitLab EE à partir de 16.6 jusqu'à la version 18.8.9, 18.9 avant la version 18.9.5 et 18.10 avant la version 18.10.3.
Mettez à niveau immédiatement vers GitLab EE version 18.10.3 ou ultérieure, ou vers une version ultérieure dans les branches de support 18.8 ou 18.9.
Non, l'exploitation ne nécessite pas de privilèges d'administrateur, mais elle nécessite une connaissance de GraphQL.
Principalement, les adresses e-mail des autres utilisateurs.
Consultez la documentation officielle de GitLab et l'avis de sécurité CVE-2025-9484.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.