GitLab ha publicado actualizaciones de seguridad de emergencia para las ediciones Community y Enterprise, corrigiendo múltiples fallas relacionadas con Duo AI, denegación de servicio y autorización en versiones recientes. La falla más crítica permite la ejecución de flujos Duo AI bajo identidades equivocadas en entornos auto gestionados. Se recomienda actualizar urgentemente a las versiones corregidas para evitar abuso de privilegios y afectación de disponibilidad.
CVE y severidad
| CVE | Descripción | CVSS 3.1 | Severidad | Componentes afectados | Versiones afectadas |
|---|---|---|---|---|---|
| CVE-2026-4868 | Falla de control de acceso en Duo AI workflow runners permitiendo ejecución con identidad incorrecta. | 8.2 | Alta | Duo AI workflow runners | EE 18.8 hasta, pero no incluyendo, 18.10.7, 18.11.4 y 19.0.1 |
| CVE-2026-1402 | Vulnerabilidad de denegación de servicio en el componente Wiki por validación insuficiente. | 6.5 | Media | Componente Wiki (CE/EE) | Desde 17.1 hasta ramas 18.10, 18.11 y 19.0 sin parchear |
| CVE-2026-6713 | Revisiones incorrectas de autorización en la API GraphQL WorkItem que permiten enumerar proyectos privados. | 5.3 | Media | GraphQL WorkItem API | Varias versiones recientes CE/EE |
| CVE-2026-5296 | Autorización incorrecta en la API Duo Workflows para roles de desarrollador. | N/D | Media | Duo Workflows API | GitLab EE reciente |
| CVE-2026-2601 | Falta de verificación de autorización que expone datos sensibles de despliegue. | N/D | Media | GitLab EE operaciones | GitLab EE reciente |
| CVE-2026-8716 | Error en resolución de nombres en pipelines que puede filtrar datos CI. | N/D | Media | Pipelines CI/CD | GitLab EE reciente |
| CVE-2026-2710 | Tokens bloqueados de acceso a proyectos podrían acceder a recursos privados. | N/D | Media | Puntos de autenticación GitLab EE/CE | GitLab EE/CE reciente |
Productos afectados
| Producto | Edición | Versiones afectadas |
|---|---|---|
| GitLab Community Edition (CE) | CE | Versiones desde 17.1 hasta 18.10 sin parchear y ramas 18.11, 19.0 sin actualizar según componente. |
| GitLab Enterprise Edition (EE) | EE | Versiones desde 18.8 hasta anterior a las versiones 18.10.7, 18.11.4 y 19.0.1 para los flujos Duo AI y otras versiones recientes según CVE. |
Solución
Actualizar a las versiones 19.0.1, 18.11.4 o 18.10.7 según corresponda.
Recomendaciones
Priorizar la aplicación inmediata de los parches para mitigar riesgos de explotación; se recomienda realizar monitoreo continuo para detectar abusos relacionados con Duo AI y Wiki, y seguir las mejores prácticas publicadas por GitLab para asegurar despliegues autogestionados.
Referencias
- https://cybersecuritynews.com/gitlab-patches-duo-ai-dos-flaws/
- https://cybersecuritynews.com/gitlab-security-update-2/
- NVD – CVE-2026-4868
- MITRE – CVE-2026-4868
- NVD – CVE-2026-1402
- MITRE – CVE-2026-1402
- NVD – CVE-2026-6713
- MITRE – CVE-2026-6713
- NVD – CVE-2026-5296
- MITRE – CVE-2026-5296
- NVD – CVE-2026-2601
- MITRE – CVE-2026-2601
- NVD – CVE-2026-8716
- MITRE – CVE-2026-8716
- NVD – CVE-2026-2710
- MITRE – CVE-2026-2710