Se han descubierto vulnerabilidades de severidad alta en los productos GitLab Community Edition (CE) y Enterprise Edition (EE). Un actor malicioso podría ejecutar scripts arbitrarios, comprometer la integridad de la interfaz de usuario o provocar una denegación de servicio en los sistemas afectados.
Productos afectados
- GitLab CE/EE: todas las versiones desde la 9.0 hasta la 18.7.5.
- GitLab CE/EE: versiones 18.7.x anteriores a 18.7.5.
- GitLab CE/EE: versiones 18.8.x anteriores a 18.8.5.
- GitLab CE/EE: versiones 18.9.x anteriores a 18.9.1.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-0752: con una puntuación de 8.0 en CVSS v3.1. Existe una vulnerabilidad de secuencias de comandos entre sitios en el entorno sandbox de Mermaid. Un actor malicioso no autenticado podría inyectar scripts arbitrarios en la interfaz de usuario, bajo ciertas circunstancias.
CVE-2026-1662: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio en el punto final de eventos de Jira. Un actor malicioso no autenticado podría provocar una denegación de servicio mediante el envío de solicitudes especialmente diseñadas al servidor.
CVE-2026-1388: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio por expresión regular en las solicitudes de fusión. Un actor malicioso no autenticado podría provocar la caída del servicio mediante el envío de entradas diseñadas bajo condiciones específicas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias