Se han descubierto vulnerabilidades de severidad alta en GitLab Community Edition (CE) y Enterprise Edition (EE). Un actor malicioso podría eludir controles de seguridad o acceder a configuraciones sensibles en los sistemas afectados.
Productos afectados
- GitLab CE/EE 18.7: versiones anteriores a 18.7.1
- GitLab CE/EE 18.6: versiones anteriores a 18.6.3
- GitLab CE/EE 18.5: versiones anteriores a 18.5.5
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-9222: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de Cross-Site Scripting almacenado en los marcadores de posición de GitLab Flavored Markdown. Un actor malicioso autenticado podría inyectar scripts maliciosos que se ejecutan en el navegador de la víctima, logrando potencialmente el robo de sesiones o acciones no autorizadas.
CVE-2025-13761: con una puntuación de 8.0 en CVSS v3.1. Existe una vulnerabilidad de Cross-Site Scripting en el componente Web IDE. Un actor malicioso podría ejecutar código malicioso al convencer a un usuario autenticado de visitar una página web especialmente manipulada, lo que podría derivar en el secuestro de la sesión del usuario.
CVE-2025-13772: con una puntuación de 7.1 en CVSS v3.1. Existe una vulnerabilidad de autorización en la API de Duo Workflows. Un actor malicioso autenticado podría acceder a configuraciones de modelos de inteligencia artificial desde espacios de nombres no autorizados.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-9222
- https://www.cve.org/CVERecord?id=CVE-2025-13761
- https://www.cve.org/CVERecord?id=CVE-2025-13772
- https://about.gitlab.com/releases/2026/01/07/patch-release-gitlab-18-7-1-released/