Plateforme
gitlab
Composant
gitlab
Corrigé dans
18.8.9
18.9.5
18.10.3
Une vulnérabilité a été corrigée dans GitLab EE, affectant les versions comprises entre 18.0.0 et 18.10.3. Cette faille permet à un utilisateur authentifié de divulguer les adresses IP d'autres utilisateurs consultant les rapports Code Quality, grâce à un contenu spécialement conçu. La vulnérabilité a été corrigée dans la version 18.10.3 et il est fortement recommandé de mettre à jour GitLab EE.
L'exploitation de cette vulnérabilité permet à un attaquant authentifié d'identifier les adresses IP des utilisateurs accédant aux rapports Code Quality. Bien que l'impact direct ne soit pas une exécution de code à distance, la divulgation d'adresses IP peut faciliter des attaques ciblées, telles que du phishing personnalisé ou des tentatives de reconnaissance réseau. L'attaquant pourrait utiliser ces informations pour affiner ses attaques et identifier des cibles spécifiques au sein de l'organisation. Cette fuite d'informations sensibles peut compromettre la confidentialité et la sécurité de l'infrastructure GitLab.
Cette vulnérabilité a été rendue publique le 8 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme modérée, car elle nécessite un accès authentifié à GitLab et une connaissance de la vulnérabilité. Il n'est pas listé sur le KEV de CISA à ce jour.
Organizations using GitLab Enterprise Edition (EE) with versions between 18.0.0 and 18.10.3 are at risk. Teams relying heavily on Code Quality reports for security assessments are particularly vulnerable, as are those with less stringent access controls to these reports.
• gitlab / server:
# Check GitLab version
gitlab-ctl version• gitlab / logs:
# Monitor Code Quality report generation logs for unusual activity
grep -i 'code quality report' /var/log/gitlab/gitlab-rails/production.log• generic web:
# Check for exposed Code Quality endpoints
curl -I https://<gitlab_url>/api/v4/quality_reportsdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 14%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation principale est de mettre à jour GitLab EE vers la version 18.10.3 ou ultérieure. En attendant la mise à jour, il est possible de restreindre l'accès aux rapports Code Quality aux seuls utilisateurs autorisés. Il est également recommandé de surveiller les journaux d'accès de GitLab pour détecter toute activité suspecte, en particulier les requêtes contenant des données potentiellement malveillantes. Bien qu'il n'existe pas de règles WAF spécifiques à cette vulnérabilité, une surveillance accrue des requêtes vers les rapports Code Quality peut aider à identifier les tentatives d'exploitation.
Mettez à jour GitLab à la version 18.8.9 ou supérieure, 18.9.5 ou supérieure, ou 18.10.3 ou supérieure pour atténuer la vulnérabilité. Cette mise à jour corrige un problème qui permettait la fuite d'adresses IP des utilisateurs visualisant les rapports de qualité de code.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1516 is a vulnerability in GitLab EE where a crafted Code Quality report can leak IP addresses of users viewing it, impacting user privacy.
You are affected if you are using GitLab EE versions 18.0.0 through 18.10.3. Upgrade to 18.10.3 or later to mitigate the risk.
Upgrade GitLab EE to version 18.10.3 or later. Consider restricting access to Code Quality reports as a temporary workaround.
There is currently no indication of active exploitation or a public proof-of-concept for CVE-2026-1516.
Refer to the official GitLab security advisory for CVE-2026-1516: [https://gitlab.com/security/advisories/CVE-2026-1516](https://gitlab.com/security/advisories/CVE-2026-1516)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.