scroll

Faille critique dans GitLab : un accès non authentifié permet l'exécution de pipelines

Sommaire

Introduction

Le 6 mai 2025, le CERT-FR a publié une alerte de sécurité concernant une vulnérabilité critique affectant le célèbre outil de gestion de code source et d'intégration continue GitLab. Cette vulnérabilité, référencée CVE-2025-46252, permet à un attaquant non authentifié de déclencher des pipelines d’exécution, ce qui peut compromettre l'intégrité du cycle de développement logiciel. Cette faille illustre l’importance de maintenir à jour ses environnements DevOps et renforce la nécessité d’une veille cybersécurité constante.

Description de la vulnérabilité

La vulnérabilité CVE-2025-46252 touche GitLab Community Edition (CE) et Enterprise Edition (EE). Elle permet à une personne non authentifiée d'exécuter des pipelines CI/CD (Continuous Integration / Continuous Deployment) en tirant parti d'un défaut de validation dans le service GitLab Web, exposant potentiellement les applications en développement à des actes malveillants comme l’exfiltration de données, l’accès à des environnements sensibles ou l’injection de code.

Versions concernées

Les versions concernées par cette vulnérabilité sont les suivantes :

  • GitLab CE/EE : de la version 13.12 à la version 16.6.5
  • La faille est corrigée à partir des versions suivantes :
  • 16.6.6
  • 16.7.4
  • 16.8.1

Il est vivement recommandé de mettre à jour immédiatement vers l’une de ces versions corrigées.

Impact potentiel

L’impact de cette vulnérabilité est classé comme critique. Étant donné qu’aucune authentification n’est requise pour en exploiter les effets, tout acteur malveillant avec un accès externe à l’hôte GitLab vulnérable peut déclencher un processus d’intégration continue. Cela peut entraîner :

  • Le minage de cryptomonnaie via les runners CI
  • L’introduction de malware dans les builds
  • La dégradation des performances du système
  • L'accès potentiel à des informations sensibles
  • Une interruption involontaire du déploiement continu

Ce type d’attaques peut mettre en péril la sécurité globale de la chaîne de développement des organisations.

Correctifs et recommandations

GitLab a publié des mises à jour de sécurité corrigeant la vulnérabilité dans les trois versions stables prises en charge. Il est donc impératif de :

  • Mettre à jour GitLab vers l'une des versions corrigées (16.6.6, 16.7.4 ou 16.8.1)
  • Audit les pipelines exécutés récemment pour détecter des comportements anormaux
  • Revérifier les permissions et les configurations CI/CD
  • Restreindre l’accès aux runners publics

Les utilisateurs de GitLab doivent également se référer à la documentation officielle pour s'assurer que toutes les configurations respectent les meilleures pratiques de sécurité.

Bonnes pratiques préventives

Outre l'application des correctifs, les entreprises doivent appliquer certaines mesures clés pour parer à de futures vulnérabilités similaires :

  • Surveiller les événements et les anomalies dans les journaux d’appels API
  • Mettre en place des solutions de détection des comportements anormaux en CI/CD
  • Limiter les autorisations des comptes de services CI
  • Employez l’authentification multifactorielle (MFA) pour l’accès à GitLab
  • Segmenter le réseau et limiter l’exposition externe du serveur GitLab

La sécurité de l’intégration continue doit faire partie intégrante de la cybersécurité de l’organisation, et ne plus être une zone aveugle.

Conclusion

La vulnérabilité CVE-2025-46252 rappelle à quel point les environnements DevOps peuvent devenir des portes d’entrées critiques pour les cyberattaques. Dans un monde de plus en plus automatisé, les chaînes CI/CD doivent faire l’objet d’une attention particulière. Le maintien des outils à jour, l’audit régulier et l’adoption de bonnes pratiques permettent d’endiguer efficacement ce type de menace. Les éditeurs comme GitLab fonctionnent en cycles de correctifs rapides, il appartient donc aux organisations de suivre ces évolutions pour sécuriser leurs infrastructures DevOps.

Thématique : Cybersécurité / DevOps / Vulnérabilités logicielles

Sujet principal : Vulnérabilité critique dans GitLab affectant la gestion de pipelines CI/CD

Source : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-014/