Se han descubierto vulnerabilidades de severidad alta en productos GitLab. Un actor malicioso podría invocar métodos no autorizados del lado del servidor o comprometer la disponibilidad del servicio mediante ataques de denegación de servicio.
Productos afectados
GitLab Community Edition (CE) y Enterprise Edition (EE):
- Versiones 18.10 anteriores a 18.10.3.
- Versiones 18.9 anteriores a 18.9.5.
- Todas las versiones desde la 12.10 hasta la 18.8.8.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-5173: con una puntuación de 8.5 en CVSS v3.1. Existe una vulnerabilidad de exposición de método o función peligrosa. Un actor malicioso remoto y autenticado con bajos privilegios podría invocar métodos involuntarios del lado del servidor a través de conexiones de websockets.
CVE-2026-1092: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de validación incorrecta de la cantidad especificada en la entrada. Un actor malicioso remoto no autenticado podría enviar cargas útiles JSON malformadas para agotar los recursos del sistema y provocar una denegación de servicio.
CVE-2025-12664: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de validación incorrecta de la cantidad especificada en la entrada de consultas GraphQL. Un actor malicioso remoto no autenticado podría enviar consultas repetitivas diseñadas para interrumpir la disponibilidad de la plataforma.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias