Se han descubierto múltiples vulnerabilidades de severidad alta en GitLab. Un actor malicioso podría lograr activar secuencias de comandos entre sitios.
Productos afectados
- GitLab CE/EE
- Versiones desde 14.2 hasta las anteriores a 18.0.6
- Versiones desde 18.1 hasta las anteriores a 18.1.4
- Versiones desde 18.2 hasta las anteriores a 18.2.2
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-7734: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de Cross-site scripting (XSS) en el «blob viewer» en GitLab CE/EE. Un actor malicioso podría lograr la inyección de contenido malicioso.
CVE-2025-7739: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de Cross-site scripting (XSS) en la sección de etiquetas en GitLab CE/EE. Un actor malicioso podría lograr un ataque de Cross-Site Scripting (Stored) al inyectar contenido HTML malicioso.
CVE-2025-6186: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de Cross-Site Scripting (XSS) en la funcionalidad de «Workitem» en GitLab CE/EE. Un actor malicioso podría lograr la toma remota de cuentas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-7734
- https://nvd.nist.gov/vuln/detail/CVE-2025-7739
- https://nvd.nist.gov/vuln/detail/CVE-2025-6186
- https://about.gitlab.com/releases/2025/08/13/patch-release-gitlab-18-2-2-released/