Multiple critical vulnerabilities in GitLab CE and EE, including remote denial of service, data confidentiality breaches, and cross-site scripting (XSS), affect versions 18.8.x prior to 18.8.6, 18.9.x prior to 18.9.2, and all versions prior to 18.7.6. Patches are available in GitLab versions 18.8.6, 18.9.2, and 18.7.6, as detailed in the vendor's security bulletin.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 12 mars 2026 N° CERTFR-2026-AVI-0276 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans GitLab Gestion du document Référence CERTFR-2026-AVI-0276 Titre Multiples vulnérabilités dans GitLab Date de la première version 12 mars 2026 Date de la dernière version 12 mars 2026 Source(s) Bulletin de sécurité GitLab du 11 mars 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à la confidentialité des données Contournement de la politique de sécurité Déni de service à distance Injection de code indirecte à distance (XSS) Systèmes affectés GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions 18.8.x antérieures à 18.8.6 GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions 18.9.x antérieures à 18.9.2 GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions antérieures à 18.7.6 Résumé De multiples vulnérabilités ont été découvertes dans GitLab. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS). Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité GitLab du 11 mars 2026 https://about.gitlab.com/releases/2026/03/11/patch-release-gitlab-18-9-2-released/ Référence CVE CVE-2025-12555 https://www.cve.org/CVERecord?id=CVE-2025-12555 Référence CVE CVE-2025-12576 https://www.cve.org/CVERecord?id=CVE-2025-12576 Référence CVE CVE-2025-12697 https://www.cve.org/CVERecord?id=CVE-2025-12697 Référence CVE CVE-2025-12704 https://www.cve.org/CVERecord?id=CVE-2025-12704 Référence CVE CVE-2025-13690 https://www.cve.org/CVERecord?id=CVE-2025-13690 Référence CVE CVE-2025-13929 https://www.cve.org/CVERecord?id=CVE-2025-13929 Référence CVE CVE-2025-14513 https://www.cve.org/CVERecord?id=CVE-2025-14513 Référence CVE CVE-2026-0602 https://www.cve.org/CVERecord?id=CVE-2026-0602 Référence CVE CVE-2026-1069 https://www.cve.org/CVERecord?id=CVE-2026-1069 Référence CVE CVE-2026-1090 https://www.cve.org/CVERecord?id=CVE-2026-1090 Référence CVE CVE-2026-1230 https://www.cve.org/CVERecord?id=CVE-2026-1230 Référence CVE CVE-2026-1663 https://www.cve.org/CVERecord?id=CVE-2026-1663 Référence CVE CVE-2026-1732 https://www.cve.org/CVERecord?id=CVE-2026-1732 Référence CVE CVE-2026-3848 https://www.cve.org/CVERecord?id=CVE-2026-3848 Gestion détaillée du document le 12 mars 2026 Version initiale