GitLab ha lanzado actualizaciones de seguridad para corregir múltiples vulnerabilidades en GitLab Community Edition (CE) y Enterprise Edition (EE), entre ellas tres de severidad alta. Esto podría permitir a un actor malicioso omitir la restricción de seguridad o realizar ataques de denegación de servicio.
Productos afectados
- 18.11.x, versiones anteriores a 18.11.3
- 18.10.x, versiones anteriores a 18.10.6
- Todas las versiones desde la 8.3 hasta la 18.9.7
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-7377: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de secuencias de comandos entre sitios en el panel de análisis afecta a GitLab EE, que podría haber permitido a un actor malicioso autenticado ejecutar código JavaScript arbitrario en el contexto de los navegadores de otros usuarios debido a una sanitización de entrada incorrecta.
CVE-2026-7481: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de secuencias de comandos entre sitios en la representación de gráficos del panel de control de Analytics afecta a GitLab EE, que podría haber permitido a un usuario autenticado con permisos de rol de desarrollador ejecutar código JavaScript arbitrario en los navegadores de otros usuarios debido a una sanitización de entrada incorrecta.
CVE-2026-6073: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad secuencias de comandos entre sitios en la representación de la salida del agente Duo afecta a GitLab EE, que podría haber permitido a un usuario autenticado ejecutar código JavaScript arbitrario en los navegadores de otros usuarios debido a una sanitización de entrada incorrecta.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias