GitLab ha lanzado una actualización de seguridad de GitLab Community Edition (CE) y Enterprise Edition (EE). Estas fallas incluyen problemas de Cross-Site Scripting (XSS), inyección de HTML y fallas de autorización, que podrían permitir a un atacante acceder a información sensible o ejecutar código malicioso.
- CVE-2025-0475 (CVSS 8.7): Esta vulnerabilidad afecta a la función de proxy de Kubernetes en GitLab CE/EE. Un atacante podría explotar esta falla para renderizar contenido no deseado, lo que podría llevar a un ataque de Cross-Site Scripting (XSS) bajo ciertas circunstancias.
- CVE-2025-0555 (CVSS 7.7): Esta vulnerabilidad de Cross-Site Scripting (XSS) en el proxy de dependencias de Maven en GitLab-EE permite a un atacante ejecutar scripts arbitrarios en el navegador de un usuario bajo condiciones específicas.
- CVE-2024-8186 (CVSS 5.4): Esta vulnerabilidad de inyección de HTML en GitLab CE/EE permite a un atacante inyectar código HTML en la búsqueda de elementos secundarios, lo que podría llevar a un ataque de XSS.
- CVE-2024-10925 (CVSS 5.3): Esta vulnerabilidad en GitLab-EE permite a un usuario con rol de invitado leer archivos YAML de políticas de seguridad debido a una verificación de autorización incorrecta.
- CVE-2025-0307 (CVSS 4.3): Esta vulnerabilidad en GitLab-EE permite a usuarios con el rol de planner acceder a datos sensibles de análisis de revisión de código en proyectos privados.
Productos, versiones afectadas y solución:
| CVE | Producto afectado | Versión afectada | Solución |
| CVE-2025-0475 | GitLab CE/EE | Desde la 15.10 hasta antes de 17.7.6 | Actualizar a las versiones 17.9.1, 17.8.4 o 17.7.6, según corresponda |
| Desde la 17.8 hasta antes de 17.8.4 | |||
| Desde la 17.9 hasta antes de 17.9.1 | |||
| CVE-2024-8186 | Desde la 16.6 hasta antes de 17.7.6 | ||
| Desde la 17.8 hasta antes de 17.8.4 | |||
| Desde la 17.9 hasta antes de 17.9.1 | |||
| CVE-2025-0555 | GitLab-EE | Desde la 16.6 hasta antes de 17.7.6 | |
| Desde la 17.7 hasta antes de 17.8 | |||
| Desde la 17.9 hasta antes de 17.9.1 | |||
| CVE-2024-10925 | Desde la 16.2 hasta antes de 17.7.6 Desde la 17.8 hasta antes de 17.8.4 Desde la 17.9 hasta antes de 17.9.1 | ||
| CVE-2025-0307 |
Recomendaciones:
- Actualizar inmediatamente las instalaciones de GitLab a las versiones 17.9.1, 17.8.4 o 17.7.6, según corresponda.
- Validar y aplicar parches de seguridad de manera regular para mantener la instancia de GitLab protegida contra amenazas emergentes.
- Revisar y ajustar los permisos de usuario para limitar el acceso a funciones sensibles y reducir el riesgo de explotación de vulnerabilidades de autorización.
Referencias: