GitLab ha publicado actualizaciones de seguridad urgentes para sus ediciones Community (CE) y Enterprise (EE), corrigiendo un total de 15 vulnerabilidades, incluidas fallas críticas de Cross-Site Scripting (XSS) y Denegación de Servicio (DoS). La vulnerabilidad más grave permite a atacantes autenticados inyectar código JavaScript malicioso debido a un defecto en el procesamiento de los placeholders de Markdown, mientras que varias otras permiten ataques DoS a través de la API GraphQL y otros puntos. Se recomienda a los administradores de instancias autogestionadas la aplicación inmediata de los parches para proteger sus entornos.
CVE y severidad
| CVE | Descripción | CVSS | Severidad | Componente afectado |
|---|---|---|---|---|
| CVE-2026-1090 | Vulnerabilidad XSS en procesamiento de placeholders Markdown con flag habilitado | 8.7 | Alta | Markdown placeholder processing |
| CVE-2026-1069 | DoS en API GraphQL causado por solicitudes recursivas maliciosas | 7.5 | Alta | GraphQL API |
| CVE-2025-13929 | DoS mediante solicitudes malformadas al endpoint de archivos del repositorio | 7.5 | Alta | Repository archive endpoint |
| CVE-2025-14513 | DoS por validación incorrecta de payloads JSON en API de ramas protegidas | 7.5 | Alta | Protected branches API |
| CVE-2025-13690 | DoS en encabezados personalizados de webhooks | 6.5 | Media | Webhook custom headers |
| CVE-2025-12576 | DoS en endpoints de webhooks | 6.5 | Media | Webhook endpoints |
| CVE-2026-3848 | Secuencia CRLF incorrecta que podría afectar seguridad | |||
| CVE-2025-12555 | Problema en control de acceso en API runners permitiendo acceso no autorizado a información previa de jobs | Runners API |
Productos afectados
| Fabricante | Producto | Versiones afectadas |
|---|---|---|
| GitLab Inc. | GitLab Community Edition (CE) | Versiones anteriores a 18.9.2, 18.8.6, 18.7.6 según línea base |
| GitLab Inc. | GitLab Enterprise Edition (EE) | Versiones anteriores a 18.9.2, 18.8.6, 18.7.6 según línea base |
Solución
Actualizar a las versiones 18.9.2, 18.8.6 o 18.7.6 para GitLab CE y EE según la línea instalada.
Recomendaciones
Se recomienda aplicar estas actualizaciones con prioridad en entornos autogestionados para mitigar riesgos críticos; durante la actualización se anticipa breve interrupción para instancias single-node, mientras que las multi-node deben emplear procesos de actualización sin tiempos de inactividad. Verificar la correcta aplicación del parche y monitorizar sistemas post actualización.
Referencias
- https://cybersecuritynews.com/gitlab-security-update-2/
- NVD CVE-2026-1090
- MITRE CVE-2026-1090
- NVD CVE-2026-1069
- MITRE CVE-2026-1069
- NVD CVE-2025-13929
- MITRE CVE-2025-13929
- NVD CVE-2025-14513
- MITRE CVE-2025-14513
- NVD CVE-2025-13690
- MITRE CVE-2025-13690
- NVD CVE-2025-12576
- MITRE CVE-2025-12576
- NVD CVE-2026-3848
- MITRE CVE-2026-3848
- NVD CVE-2025-12555
- MITRE CVE-2025-12555