GitLab a publié un correctif de sécurité critique pour la CVE-2026-3094 (CVSS 9.6), une vulnérabilité d injection SQL affectant GitLab CE et EE versions 16.8 à 17.5. Un attaquant authentifié avec un accès Guest minimal peut exploiter cette faille dans l API GraphQL pour extraire l intégralité de la base de données, incluant les tokens d accès, les clés SSH et les variables CI/CD. L exploitation est triviale et des scripts automatisés circulent sur GitHub.
Détails de la vulnérabilité
| Attribut | Valeur |
|---|---|
| CVE | CVE-2026-3094 |
| CVSS 3.1 | 9.6 (Critique) |
| Type | SQL Injection (blind, time-based) |
| Composant | API GraphQL - endpoint issues |
| Versions affectées | CE/EE 16.8.0 - 17.5.3 |
| Versions corrigées | 17.5.4, 17.4.6, 16.11.12 |
| Privilèges requis | Guest (accès minimal) |
Impact et données exposées
L exploitation de cette faille permet d accéder à :
- Personal Access Tokens de tous les utilisateurs (permettant l usurpation d identité)
- Clés SSH enregistrées dans GitLab
- Variables CI/CD incluant les secrets, mots de passe et clés API
- Runner tokens permettant d exécuter du code sur les runners CI/CD
- Hash des mots de passe des utilisateurs locaux
Impact supply chain
Une instance GitLab compromise peut servir de point de pivot pour des attaques supply chain. L attaquant peut modifier le code source, injecter des backdoors dans les pipelines CI/CD et compromettre tous les artefacts produits. Vérifiez l intégrité de vos pipelines après le patching.
Remédiation
- Mettre à jour vers GitLab 17.5.4, 17.4.6 ou 16.11.12 immédiatement
- Révoquer tous les Personal Access Tokens et en générer de nouveaux
- Rotater les secrets CI/CD : variables d environnement, clés API, credentials
- Auditer les logs GraphQL : rechercher les requêtes suspectes sur l endpoint issues
- Vérifier l intégrité des pipelines : comparer les configurations CI/CD avec le versioning
Pour sécuriser vos pipelines de développement, consultez notre guide DevSecOps : Pipeline CI/CD sécurisé.
À retenir
Les plateformes de gestion de code source (GitLab, GitHub Enterprise, Bitbucket) sont des cibles à haute valeur car elles contiennent le code, les secrets et les pipelines de l organisation. Appliquez le principe de moindre privilège et surveillez les accès API.
Sources : GitLab Security Releases | NVD — National Vulnerability Database
Voir aussi : Pipeline DevSecOps sécurisé | Protection supply chain
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2025-2749 : RCE Kentico Xperience inscrite au KEV CISA
CVE-2025-2749 : path traversal Kentico Xperience vers RCE, ajoutée au KEV CISA le 20 avril 2026. Échéance fédérale fixée au 4 mai 2026.
CVE-2026-34621 : Adobe Acrobat zero-day PDF exploité 4 mois
CVE-2026-34621 : zero-day Adobe Acrobat / Reader exploité depuis décembre 2025 via PDF malveillant, patch APSB26-43 publié le 11 avril 2026.
CVE-2026-35616 : FortiClient EMS API auth bypass exploité
CVE-2026-35616 expose les serveurs FortiClient EMS 7.4.5 et 7.4.6 à un bypass d'authentification API exploité in-the-wild depuis le 31 mars 2026.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire