TL;DR — En résumé
CVE-2026-3094 GitLab : injection SQL critique CVSS 9.6 dans l API GraphQL. Tokens et secrets exposés, patchez.
GitLab a publié un correctif de sécurité critique pour la CVE-2026-3094 (CVSS 9.6), une vulnérabilité d injection SQL affectant GitLab CE et EE versions 16.8 à 17.5. Un attaquant authentifié avec un accès Guest minimal peut exploiter cette faille dans l API GraphQL pour extraire l intégralité de la base de données, incluant les tokens d accès, les clés SSH et les variables CI/CD. L exploitation est triviale et des scripts automatisés circulent sur GitHub.
Détails de la vulnérabilité
| Attribut | Valeur |
|---|---|
| CVE | CVE-2026-3094 |
| CVSS 3.1 | 9.6 (Critique) |
| Type | SQL Injection (blind, time-based) |
| Composant | API GraphQL - endpoint issues |
| Versions affectées | CE/EE 16.8.0 - 17.5.3 |
| Versions corrigées | 17.5.4, 17.4.6, 16.11.12 |
| Privilèges requis | Guest (accès minimal) |
Impact et données exposées
L exploitation de cette faille permet d accéder à :
- Personal Access Tokens de tous les utilisateurs (permettant l usurpation d identité)
- Clés SSH enregistrées dans GitLab
- Variables CI/CD incluant les secrets, mots de passe et clés API
- Runner tokens permettant d exécuter du code sur les runners CI/CD
- Hash des mots de passe des utilisateurs locaux
Impact supply chain
Une instance GitLab compromise peut servir de point de pivot pour des attaques supply chain. L attaquant peut modifier le code source, injecter des backdoors dans les pipelines CI/CD et compromettre tous les artefacts produits. Vérifiez l intégrité de vos pipelines après le patching.
Remédiation
- Mettre à jour vers GitLab 17.5.4, 17.4.6 ou 16.11.12 immédiatement
- Révoquer tous les Personal Access Tokens et en générer de nouveaux
- Rotater les secrets CI/CD : variables d environnement, clés API, credentials
- Auditer les logs GraphQL : rechercher les requêtes suspectes sur l endpoint issues
- Vérifier l intégrité des pipelines : comparer les configurations CI/CD avec le versioning
Pour sécuriser vos pipelines de développement, consultez notre guide DevSecOps : Pipeline CI/CD sécurisé.
À retenir
Les plateformes de gestion de code source (GitLab, GitHub Enterprise, Bitbucket) sont des cibles à haute valeur car elles contiennent le code, les secrets et les pipelines de l organisation. Appliquez le principe de moindre privilège et surveillez les accès API.
Sources : GitLab Security Releases | NVD — National Vulnerability Database
Voir aussi : Pipeline DevSecOps sécurisé | Protection supply chain
Pour approfondir
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-20245 : 0-day Cisco SD-WAN Manager, aucun patch
CVE-2026-20245 est un zero-day affectant Cisco Catalyst SD-WAN Manager permettant l'exécution de commandes root via upload de fichier malveillant. Aucun correctif disponible. CISA KEV depuis le 9 juin 2026.
CVE-2026-42897 : XSS Exchange OWA exploité, alerte CERT-FR
CVE-2026-42897 (CVSS 8.1) : XSS dans Outlook Web Access de Microsoft Exchange Server exploitée via email piégé. Alerte CERT-FR CERTFR-2026-ALE-005. Patch disponible depuis le Patch Tuesday de juin 2026.
CVE-2026-50751 : Bypass auth VPN Check Point, Qilin frappe
CVE-2026-50751 (CVSS 9.3) permet à un attaquant non authentifié de contourner l'authentification VPN Check Point via IKEv1. Un affilié du ransomware Qilin exploite activement cette faille depuis le 7 mai 2026 ; PoC public disponible depuis le 12 juin.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire