
Se han descubierto vulnerabilidades de severidad alta en productos GitLab. Un actor malicioso podría ejecutar secuencias de comandos arbitrarias en la sesión del navegador de otros usuarios.
Productos afectados
GitLab Community Edition (CE) y Enterprise Edition (EE):
- Versiones desde la 13.11 hasta anteriores a la 18.11.7
- 19.0.x: versiones anteriores a 19.0.4
- 19.1.x: versiones anteriores a 19.1.2
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-6896: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web. Un actor malicioso remoto y autenticado, con permisos de rol de desarrollador, podría ejecutar secuencias de comandos arbitrarias en la sesión del navegador de otro usuario debido a la desinfección incorrecta de la entrada proporcionada.
CVE-2026-13320: con una puntuación de 7.3 en CVSS v3.1. Existe una vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web. Un actor malicioso remoto y autenticado podría ejecutar secuencias de comandos arbitrarias en la sesión del navegador de otro usuario bajo ciertas condiciones, debido a la desinfección incorrecta de la entrada proporcionada.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias