Vulnerabilidades en productos GitLab

Se han descubierto vulnerabilidades de severidad alta en productos GitLab. Un actor malicioso podría ejecutar secuencias de comandos arbitrarias en la sesión del navegador de otros usuarios.

Productos afectados

GitLab Community Edition (CE) y Enterprise Edition (EE):

  • Versiones desde la 13.11 hasta anteriores a la 18.11.7
  • 19.0.x: versiones anteriores a 19.0.4
  • 19.1.x: versiones anteriores a 19.1.2

Impacto

Las vulnerabilidades se han identificado como:

CVE-2026-6896: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web. Un actor malicioso remoto y autenticado, con permisos de rol de desarrollador, podría ejecutar secuencias de comandos arbitrarias en la sesión del navegador de otro usuario debido a la desinfección incorrecta de la entrada proporcionada.

CVE-2026-13320: con una puntuación de 7.3 en CVSS v3.1. Existe una vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web. Un actor malicioso remoto y autenticado podría ejecutar secuencias de comandos arbitrarias en la sesión del navegador de otro usuario bajo ciertas condiciones, debido a la desinfección incorrecta de la entrada proporcionada.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.cve.org/CVERecord?id=CVE-2026-6896
https://www.cve.org/CVERecord?id=CVE-2026-13320
https://docs.gitlab.com/releases/patches/patch-release-gitlab-19-1-2-released