Se identificaron múltiples vulnerabilidades en GitLab. Un actor malicioso remoto podría explotar algunas de estas vulnerabilidades para divulgación de información confidencial, condición de denegación de servicio o evasión de restricciones de seguridad en el sistema objetivo.
Productos afectados
- Versiones de GitLab Community Edition (CE) anteriores a 18.0.1, 17.11.3 y 17.10.7
- Versiones de GitLab Enterprise Edition (EE) anteriores a 18.0.1, 17.11.3 y 17.10.7
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-0993: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de asignación de recursos sin límites ni limitaciones. Esta podría permitir que un actor malicioso autenticado provoque una denegación de servicio al agotar los recursos del servidor.
CVE-2024-12093: con una puntuación de 6.8 en CVSS v3.1. Existe una vulnerabilidad de validación incorrecta de la consistencia dentro de la entrada. Esta podría permitir que un actor malicioso omita el requisito de 2FA en condiciones especiales.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://about.gitlab.com/releases/2025/05/21/patch-release-gitlab-18-0-1-released/
https://nvd.nist.gov/vuln/detail/CVE-2025-0993
https://nvd.nist.gov/vuln/detail/CVE-2024-12093