GitLab et CVE-2023-7028 : pourquoi cette faille de reset de mot de passe a inquiété tout le monde
> En bref : CVE-2023-7028 permettait un takeover via reset de mot de passe sans interaction utilisateur dans certaines versions de GitLab. Voici pourquoi...
Une faille sur une plate-forme qui concentre code, secrets et CI
GitLab a publie en janvier 2024 une release critique precisant que CVE-2023-7028 permettait un account takeover via le mecanisme de reset de mot de passe, sans interaction de la victime. Le billet officiel attribue un score CVSS 10.0 a la faille.
Pourquoi l impact depasse l authentification
Sur GitLab, prendre un compte ne signifie pas seulement lire du code source. Cela peut aussi ouvrir l acces aux pipelines, variables secretees, artefacts, registres, tickets et workflows de deploiement.
Ce que cela dit des plateformes DevOps
Les plateformes de developpement sont des multiplicateurs de risque. Une faille d authentification sur elles ne vaut pas une faille d application ordinaire. Elle peut devenir un point d entree vers la supply chain interne.
La lecon pour 2026
Il faut regarder les versions GitLab, la MFA, les journaux d audit, la rotation des secrets et les logs lies aux resets suspects. GitLab recommande d ailleurs explicitement des actions de reponse plus larges qu une simple mise a jour.
Notre lecture
CVE-2023-7028 est un tres bon rappel que sur les outils DevOps, une faille de compte peut rapidement devenir une faille d organisation. Le coeur du risque est la concentration de pouvoirs dans une seule plateforme.
À retenir
Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
PHP et Laravel Ignition : pourquoi CVE-2021-3129 a tant marque l ecosysteme
CVE-2021-3129 a montre qu un composant de debug Laravel mal expose pouvait ouvrir a une execution de code a distance. Voici pourquoi cette faille reste marquante pour l ecosysteme PHP.
WordPress CVE-2026-8206 : prise de contrôle admin sans authentification via le plugin Kirki
Le plugin WordPress Kirki (6.0.0 à 6.0.6) laisse un attaquant non authentifié prendre le contrôle d'un compte administrateur via un reset de mot de passe défaillant. CVSS 9.8, exploitation active, ~150 000 sites exposés. Correctif : 6.0.7.
ActiveMQ et CVE-2023-46604 : le danger des protocoles trop confiants
CVE-2023-46604 a expose une RCE via OpenWire sur ActiveMQ. Voici pourquoi cette faille reste une reference pour les brokers exposes.
Sources
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.