Se han descubierto vulnerabilidades de severidad alta en GitLab Community Edition (CE) y Enterprise Edition (EE). Un actor malicioso podría robar credenciales, escalar privilegios o provocar una denegación de servicio (DoS) sin necesidad de autenticación.
Productos afectados
- GitLab CE/EE 18.6: versiones anteriores a 18.6.1
- GitLab CE/EE 18.5: versiones anteriores a 18.5.3
- GitLab CE/EE 18.4: versiones anteriores a 18.4.5
Impacto
Las vulnerabilidades se han identificado como:
CVE-2024–9183: con una puntuación de 7.7 en CVSS v3.1. Existe una vulnerabilidad de condición de carrera en la caché de CI/CD. Un actor malicioso autenticado podría aprovechar esta vulnerabilidad para obtener credenciales de usuarios con mayores privilegios y realizar acciones en su nombre, logrando una escalada de privilegios.
CVE-2025–12571: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio en el middleware de validación de entradas JSON. Un actor malicioso no autenticado podría enviar cargas útiles JSON específicamente manipuladas para bloquear el servicio, afectando la disponibilidad del sistema.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2024-9183
- https://www.cve.org/CVERecord?id=CVE-2025-12571
- https://about.gitlab.com/releases/2025/11/26/patch-release-gitlab-18-6-1-released/