Plateforme
gitlab
Composant
gitlab
Corrigé dans
18.8.9
18.9.5
18.10.3
La vulnérabilité CVE-2026-5173 concerne GitLab CE/EE, où un contrôle d'accès insuffisant permettait à un utilisateur authentifié d'exécuter des méthodes côté serveur non prévues via des connexions WebSocket. Cette faille peut potentiellement conduire à des actions non autorisées sur le serveur. Les versions concernées sont celles comprises entre 16.9.6 et 18.8.9, 18.9 avant 18.9.5 et 18.10 avant 18.10.3. Une correction est disponible dans la version 18.10.3.
CVE-2026-5173 affecte GitLab CE/EE dans les versions de 16.9.6 à 18.8.9, 18.9 avant 18.9.5 et 18.10 avant 18.10.3. Cette vulnérabilité permet à un utilisateur authentifié d'invoquer des méthodes côté serveur non intentionnelles via des connexions WebSocket en raison de contrôles d'accès inappropriés. Un acteur malveillant pourrait potentiellement exploiter cette faille pour effectuer des actions non autorisées au sein de GitLab, compromettant l'intégrité et la confidentialité des données. La sévérité de la vulnérabilité est notée 8.5 sur l'échelle CVSS, indiquant un risque important. L'application de la mise à jour de sécurité est cruciale pour atténuer ce risque.
La vulnérabilité est exploitée via des connexions WebSocket, un protocole de communication bidirectionnel permettant une communication en temps réel entre le client et le serveur. Un utilisateur authentifié pourrait manipuler les requêtes WebSocket pour invoquer des méthodes de serveur qui ne seraient normalement pas disponibles pour lui. L'impact de cette exploitation dépend des autorisations de l'utilisateur authentifié et de la fonctionnalité des méthodes de serveur invoquées. Une exploitation réussie pourrait entraîner une modification des données, une exécution de code arbitraire ou un accès non autorisé à des informations confidentielles.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution pour CVE-2026-5173 est de mettre à niveau vers GitLab version 18.10.3 ou ultérieure, 18.9.5 ou ultérieure, ou 18.8.9 ou ultérieure. GitLab a publié ces mises à jour pour corriger la faille de contrôle d'accès. Les administrateurs GitLab sont fortement encouragés à appliquer ces mises à jour dès que possible pour protéger leurs instances GitLab contre d'éventuelles attaques. De plus, examinez les politiques et les autorisations d'accès de GitLab pour vous assurer que les utilisateurs n'ont accès qu'aux ressources dont ils ont besoin. Surveillez les journaux GitLab à la recherche d'activités inhabituelles pouvant indiquer une tentative d'exploitation.
Actualice GitLab a la versión 18.10.3 o posterior, 18.9.5 o posterior, o 18.8.10 o posterior para mitigar la vulnerabilidad. Esta actualización corrige una falla de control de acceso que permitía a usuarios autenticados invocar métodos del lado del servidor no deseados a través de conexiones WebSocket. Consulte las notas de la versión para obtener más detalles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions affectées sont GitLab CE/EE de 16.9.6 à 18.8.9, 18.9 avant 18.9.5 et 18.10 avant 18.10.3.
Vérifiez la version de votre instance GitLab et comparez-la aux versions vulnérables listées. Vous pouvez également consulter les notes de publication de GitLab pour obtenir des informations sur cette vulnérabilité.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de mettre en œuvre des mesures d'atténuation temporaires, telles que la restriction de l'accès aux connexions WebSocket ou la surveillance des journaux GitLab à la recherche d'activités inhabituelles.
Certains outils d'analyse de vulnérabilités peuvent détecter cette vulnérabilité. Consultez la documentation de votre outil d'analyse pour plus d'informations.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans l'avis de sécurité GitLab : [Lien vers l'avis de sécurité GitLab]
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.