Se han descubierto vulnerabilidades de severidad alta en GitLab Community Edition y Enterprise Edition. Un actor malicioso podría ejecutar acciones no autorizadas, provocar denegación de servicio o comprometer la integridad del sistema.
Productos afectados
GitLab Community Edition (CE) y Enterprise Edition (EE)
- todas las versiones desde la 11.0 hasta la 18.3.5
- 18.4.x, versiones anteriores a 18.4.3
- 18.5.x, versiones anteriores a 18.5.1
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-11702: con una puntuación de 8.5 en CVSS v3.1. Existe una vulnerabilidad de control de acceso inadecuado en la API de runners de GitLab EE. Un actor malicioso autenticado con permisos específicos podría secuestrar runners de proyecto desde otros proyectos.
CVE-2025-10497: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio en la recolección de eventos. Un actor malicioso no autenticado podría provocar una condición de denegación de servicio mediante el envío de cargas útiles especialmente diseñadas.
CVE-2025-11447: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio en la validación JSON. Un actor malicioso no autenticado podría provocar una condición de denegación de servicio mediante solicitudes GraphQL con cargas útiles JSON manipuladas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-11702
- https://www.cve.org/CVERecord?id=CVE-2025-10497
- https://www.cve.org/CVERecord?id=CVE-2025-11447
- https://about.gitlab.com/releases/2025/10/22/patch-release-gitlab-18-5-1-released/