Se han publicado actualizaciones de seguridad que resuelven diez vulnerabilidades, cuatro de las cuales son altas, en GitLab Community Edition (CE) y Enterprise Edition (EE).
Productos y versiones afectadas
GitLab Community Edition (CE) y Enterprise Edition (EE)
• todas las versiones, desde 18.4, anterior a 18.4.6, desde 18.5, anterior a 18.5.4, desde 18.6, desde 18.6.2, antes hasta 18.6.2;
• todas las versiones, de 17.1 a 18.4.6, de 18.5, a 18.5.4, de 18.6, de 18.6.2, antes de 18.6.2;
• todas las versiones, de 15.11, anteriores a 18.4.6, de 18.5, anterior a 18.5.4, de 18.6, de 18.6.2, anterior a 18.6.2;
• todas las versiones, desde 11.10 anteriores a 18.4.6, desde 18.5, anteriores a 18.5.4, desde 18.6, desde 18.6.2.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
• CVE-2025-12029: con una puntuación de 8.0 en CVSS v3.1. Existe una vulnerabilidad en GitLab ha remediado un problema en GitLab CE/EE que afecta a todas las versiones anteriores a la 15.16 en versiones anteriores a 18.4.6, 18.5 anterior a 18.5.4 y 18.6 en versiones anteriores a 18.6.2 que podría haber permitido, en ciertas circunstancias, a un usuario no autenticado realizar acciones no autorizadas en nombre de otro usuario mediante la inyección de scripts externos maliciosos en la interfaz de usuario de Swagger.
• CVE-2025-12562: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad en GitLab ha remediado un problema en GitLab CE/EE que afecta a todas las versiones anteriores a la 11.10 anterior a 18.4.6, 18.5 anterior a 18.5.4 y 18.6 en versiones anteriores a 18.6.2 que podría haber permitido a un usuario no autenticado crear una condición de denegación de servicio mediante el envío de consultas GraphQL manipuladas que eluden los límites de complejidad de consulta.
• CVE-2025-12716: con una puntuación de 7.8 en CVSS v3.1 Existe una vulnerabilidad en GitLab ha remediado un problema en GitLab CE/EE que afecta a todas las versiones de 18.4 anteriores a 18.4.6, 18.5 en versiones anteriores a 18.5.4 y 18.6 en versiones anteriores a 18.6.2 que, bajo ciertas condiciones, podría haber permitido a un usuario autenticado realizar acciones no autorizadas en nombre de otro usuario mediante la creación de páginas wiki con contenido malicioso.
• CVE-2025-8405: con una puntuación de 8.7 en CVSS v3.1 Existe una vulnerabilidad en GitLab ha remediado un problema de seguridad en GitLab CE/EE que afecta a todas las versiones de 17.1 anteriores a 18.4.6, 18.5 en versiones anteriores a 18.5.4 y 18.6 en versiones anteriores a 18.6.2 que podría haber permitido a un usuario autenticado realizar acciones no autorizadas en nombre de otros usuarios mediante la inyección de HTML malicioso en pantallas de flujo de código de vulnerabilidad.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://nvd.nist.gov/vuln/detail/CVE-2025-12029
https://nvd.nist.gov/vuln/detail/CVE-2025-12562
https://nvd.nist.gov/vuln/detail/CVE-2025-12716
https://nvd.nist.gov/vuln/detail/CVE-2025-8405