Multiple critical vulnerabilities in GitLab CE/EE, including arbitrary code execution, SSRF, and data confidentiality breaches, are addressed in this patch release. Affected versions are GitLab CE/EE 18.10.x prior to 18.10.6, 18.11.x prior to 18.11.3, and all versions prior to 18.9.7. Administrators must apply the relevant patches to 18.10.6, 18.11.3, or 18.9.7 immediately to mitigate these risks.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 15 mai 2026 N° CERTFR-2026-AVI-0593 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans GitLab Gestion du document Référence CERTFR-2026-AVI-0593 Titre Multiples vulnérabilités dans GitLab Date de la première version 15 mai 2026 Date de la dernière version 15 mai 2026 Source(s) Bulletin de sécurité GitLab du 13 mai 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à la confidentialité des données Contournement de la politique de sécurité Déni de service à distance Exécution de code arbitraire Falsification de requêtes côté serveur (SSRF) Injection de code indirecte à distance (XSS) Injection de requêtes illégitimes par rebond (CSRF) Systèmes affectés GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions 18.10.x antérieures à 18.10.6 GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions 18.11.x antérieures à 18.11.3 GitLab Community Edition (CE) et Gitlab Enterprise Edition (EE) versions antérieures à 18.9.7 Résumé De multiples vulnérabilités ont été découvertes dans GitLab. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une atteinte à la confidentialité des données et une falsification de requêtes côté serveur (SSRF). Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité GitLab du 13 mai 2026 https://docs.gitlab.com/releases/patches/patch-release-gitlab-18-11-3-released/ Référence CVE CVE-2025-12669 https://www.cve.org/CVERecord?id=CVE-2025-12669 Référence CVE CVE-2025-13874 https://www.cve.org/CVERecord?id=CVE-2025-13874 Référence CVE CVE-2025-14869 https://www.cve.org/CVERecord?id=CVE-2025-14869 Référence CVE CVE-2025-14870 https://www.cve.org/CVERecord?id=CVE-2025-14870 Référence CVE CVE-2026-1184 https://www.cve.org/CVERecord?id=CVE-2026-1184 Référence CVE CVE-2026-1322 https://www.cve.org/CVERecord?id=CVE-2026-1322 Référence CVE CVE-2026-1338 https://www.cve.org/CVERecord?id=CVE-2026-1338 Référence CVE CVE-2026-1659 https://www.cve.org/CVERecord?id=CVE-2026-1659 Référence CVE CVE-2026-2900 https://www.cve.org/CVERecord?id=CVE-2026-2900 Référence CVE CVE-2026-3073 https://www.cve.org/CVERecord?id=CVE-2026-3073 Référence CVE CVE-2026-3074 https://www.cve.org/CVERecord?id=CVE-2026-3074 Référence CVE CVE-2026-3160 https://www.cve.org/CVERecord?id=CVE-2026-3160 Référence CVE CVE-2026-3607 https://www.cve.org/CVERecord?id=CVE-2026-3607 Référence CVE CVE-2026-4524 https://www.cve.org/CVERecord?id=CVE-2026-4524 Référence CVE CVE-2026-4527 https://www.cve.org/CVERecord?id=CVE-2026-4527 Référence CVE CVE-2026-5297 https://www.cve.org/CVERecord?id=CVE-2026-5297 Référence CVE CVE-2026-6063 https://www.cve.org/CVERecord?id=CVE-2026-6063 Référence CVE CVE-2026-6073 https://www.cve.org/CVERecord?id=CVE-2026-6073 Référence CVE CVE-2026-6335 https://www.cve.org/CVERecord?id=CVE-2026-6335 Référence CVE CVE-2026-6883 https://www.cve.org/CVERecord?id=CVE-2026-6883 Référence CVE CVE-2026-7377 https://www.cve.org/CVERecord?id=CVE-2026-7377 Référence CVE CVE-2026-7471 https://www.cve.org/CVERecord?id=CVE-2026-7471 Référence CVE CVE-2026-7481 https://www.cve.org/CVERecord?id=CVE-2026-7481 Référence CVE CVE-2026-8144 https://www.cve.org/CVERecord?id=CVE-2026-8144 Référence CVE CVE-2026-8280 https://www.cve.org/CVERecord?id=CVE-2026-8280 Gestion détaillée du document le 15 mai 2026 Version initiale