Actualización crítica de GitLab corrige fallas de XSS y escalada de privilegios

GitLab ha lanzado un parche de seguridad urgente para corregir múltiples vulnerabilidades que afectan versiones ampliamente utilizadas de sus ediciones Community (CE) y Enterprise (EE) y que, en conjunto, representan un riesgo elevado de compromiso de cuentas, alteración de permisos y filtración de datos internos.

• CVE-2025-22555 (CVSS: 8.7): Esta vulnerabilidad permite a usuarios autenticados inyectar código JavaScript malicioso (XSS) que, al ejecutarse en el navegador de otro usuario, puede provocar escalamiento de privilegios. Afecta entornos con uso de etiquetas personalizadas.
• CVE-2025-0811 (CVSS: 8.7): Esta vulnerabilidad permite que un usuario autenticado cree o modifique campos personalizados con contenido HTML malicioso que elude las validaciones de seguridad, posibilitando inyecciones de contenido dañino en formularios, perfiles o descripciones.
• CVE-2025-2242 (CVSS: 7.5): Esta falla permite que un usuario que fue administrador y luego fue degradado a un rol estándar puede seguir ejerciendo privilegios elevados en grupos y proyectos, debido a un control de acceso defectuoso.
• CVE-2024-12619 (CVSS: 5.2): Permite que usuarios internos obtengan acceso no autorizado a proyectos internos, aun sin contar con los permisos adecuados.
• CVE-2024-10307 (CVSS: 6.5): Provoca consumo excesivo de recursos mediante archivos Terraform maliciosos enviados en solicitudes de fusión.
• CVE-2024-9773 (CVSS: 6.5): Permite inyección de código Shell al configurar nombres de proyecto Harbor mediante scripts auxiliares.

Productos y versiones afectadas:

Producto	Versiones afectadas	Solución
GitLab CE/EE	17.10.0 y anteriores 17.9.2 y anteriores 17.8.5 y anteriores	Actualizar a las versiones 17.10.1, 17.9.3, 17.8.6 según corresponda.

Recomendaciones:

• Actualizar de inmediato a una de las versiones seguras.
• Habilitar políticas CSP (Content Security Policy) en entornos web.
• Auditar etiquetas, comentarios y campos personalizados para detectar contenido malicioso.
• Implementar monitoreo de eventos y auditoría de cuentas privilegiadas.

Referencias:

• https://securityonline.info/gitlab-alert-patch-now-xss-privilege-escalation-risks/
• https://about.gitlab.com/releases/2025/03/26/patch-release-gitlab-17-10-1-released/
• https://nvd.nist.gov/vuln/detail/CVE-2025-22555