Retour au blog
GitLabDevOpsCVE

GitLab et CVE-2023-7028 : pourquoi cette faille de reset de mot de passe a inquiété tout le monde

Publié le 2026-04-116 min de lectureFlorian

Une faille sur une plate-forme qui concentre code, secrets et CI

GitLab a publie en janvier 2024 une release critique precisant que CVE-2023-7028 permettait un account takeover via le mecanisme de reset de mot de passe, sans interaction de la victime. Le billet officiel attribue un score CVSS 10.0 a la faille.

Pourquoi l impact depasse l authentification

Sur GitLab, prendre un compte ne signifie pas seulement lire du code source. Cela peut aussi ouvrir l acces aux pipelines, variables secretees, artefacts, registres, tickets et workflows de deploiement.

Ce que cela dit des plateformes DevOps

Les plateformes de developpement sont des multiplicateurs de risque. Une faille d authentification sur elles ne vaut pas une faille d application ordinaire. Elle peut devenir un point d entree vers la supply chain interne.

La lecon pour 2026

Il faut regarder les versions GitLab, la MFA, les journaux d audit, la rotation des secrets et les logs lies aux resets suspects. GitLab recommande d ailleurs explicitement des actions de reponse plus larges qu une simple mise a jour.

Notre lecture

CVE-2023-7028 est un tres bon rappel que sur les outils DevOps, une faille de compte peut rapidement devenir une faille d organisation. Le coeur du risque est la concentration de pouvoirs dans une seule plateforme.

Articles liés

Trois analyses proches pour continuer la lecture sur la meme surface de risque.

PHPLaravel

PHP et Laravel Ignition : pourquoi CVE-2021-3129 a tant marque l ecosysteme

CVE-2021-3129 a montre qu un composant de debug Laravel mal expose pouvait ouvrir a une execution de code a distance. Voici pourquoi cette faille reste marquante pour l ecosysteme PHP.

2026-04-11 · 6 min de lecture
ActiveMQmessaging

ActiveMQ et CVE-2023-46604 : le danger des protocoles trop confiants

CVE-2023-46604 a expose une RCE via OpenWire sur ActiveMQ. Voici pourquoi cette faille reste une reference pour les brokers exposes.

2026-04-11 · 6 min de lecture
PHPDrupal

PHP et Drupalgeddon2 : pourquoi CVE-2018-7600 reste un repere

CVE-2018-7600 a marque durablement l ecosysteme PHP via Drupal. Voici pourquoi Drupalgeddon2 reste un repere quand on parle de failles critiques sur des CMS exposés.

2026-04-11 · 6 min de lecture

Sources

Rédigé par Florian
Revu le 2026-04-11

Services associés

Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

Revue Externe

Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

Audit Complet

Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

Suivi Récurrent

Surveiller les nouvelles expositions quand votre stack évolue dans le temps.

Besoin d'une revue externe de votre SaaS RH ?

Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

Parler de votre audit