Se han descubierto vulnerabilidades de severidad alta en productos GitLab. Un actor malicioso podría provocar denegación de servicio, modificación no autorizada de registros o exposición de variables sensibles.
Productos afectados
GitLab Community Edition (CE) y Enterprise Edition (EE)
- todas las versiones desde la 13.12 hasta la 18.2.8
- 18.3.x, versiones anteriores a 18.3.4
- 18.4.x, versiones anteriores a 18.4.2
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-11340: con una puntuación de 7.7 en CVSS v3.1. Existe una vulnerabilidad de autorización incorrecta en mutaciones GraphQL en GitLab EE que, bajo ciertas condiciones, podría permitir a actores maliciosos con tokens API de solo lectura realizar operaciones de escritura no autorizadas sobre registros de vulnerabilidad.
CVE-2025-10004: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio mediante consultas GraphQL especialmente diseñadas al tipo blob que pueden volver no responsiva o degradada la instancia de GitLab. Un actor malicioso podría interrumpir el servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-11340
- https://www.cve.org/CVERecord?id=CVE-2025-10004 https://about.gitlab.com/releases/2025/10/08/patch-release-gitlab-18-4-2-released/