Se han descubierto vulnerabilidades de severidad alta en GitLab Community Edition (CE) y Enterprise Edition (EE). Un actor malicioso podría eludir la autenticación de dos factores o provocar una denegación de servicio en los sistemas afectados.
Productos afectados
- GitLab CE/EE 18.8: versiones anteriores a 18.8.2
- GitLab CE/EE 18.7: versiones anteriores a 18.7.2
- GitLab CE/EE 18.6: versiones anteriores a 18.6.4 (y todas las versiones desde la 11.9)
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-13927: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio en la integración de Jira Connect. Un actor malicioso no autenticado podría enviar solicitudes especialmente manipuladas con datos de autenticación mal formados para provocar la caída del servicio.
CVE-2025-13928: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de autorización incorrecta en la API de GitLab CE/EE. Un actor malicioso no autenticado podría aprovechar esta validación deficiente para provocar una condición de denegación de servicio a través de los endpoints de la API.
CVE-2026-0723: con una puntuación de 7.4 en CVSS v3.1. Existe una vulnerabilidad de valor de retorno no verificado en los servicios de autenticación. Un actor malicioso con conocimiento previo del ID de credencial de la víctima podría eludir la autenticación de dos factores enviando respuestas de dispositivo falsificadas, logrando acceso no autorizado a la cuenta.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias