GitLab ha publicado una actualización de seguridad crítica para las ediciones Community Edition (CE) y Enterprise Edition (EE), abordando varias vulnerabilidades de alta severidad que podrían permitir a atacantes no autenticados robar tokens de acceso, realizar ataques de denegación de servicio (DoS) y ejecutar scripts maliciosos mediante Cross-Site Scripting (XSS). La falla más grave, identificada como CVE-2025-7659 (CVSS 8.0), afecta al Web IDE y posibilita el acceso no autorizado a repositorios privados.
CVE y severidad
| CVE ID | Severidad | Tipo | Descripción |
|---|---|---|---|
| CVE-2025-7659 | Alta (8.0) | Robo de tokens | Acceso no autenticado a tokens privados vía Web IDE. |
| CVE-2025-8099 | Alta (7.5) | Denegación de Servicio (DoS) | Causa caída del servicio mediante consultas repetidas al GraphQL. |
| CVE-2026-0958 | Alta (7.5) | Denegación de Servicio (DoS) | Agotamiento de recursos por eludir validación JSON. |
| CVE-2025-14560 | Alta (7.3) | XSS | Inyección de scripts maliciosos en la función Code Flow. |
Productos afectados
| Producto | Versiones afectadas |
|---|---|
| GitLab Community Edition y Enterprise Edition | Versiones anteriores a 18.8.4, 18.7.4 y 18.6.6 |
Solución
Actualizar a GitLab CE/EE en las versiones 18.8.4, 18.7.4 o 18.6.6 según corresponda.
Recomendaciones
Se recomienda aplicar la actualización inmediatamente en todas las instancias autogestionadas para evitar explotación; considere realizar el mantenimiento fuera de horarios críticos debido a posibles interrupciones breves durante la migración de base de datos.