El 10 de diciembre de 2025, GitLab lanzó parches críticos para corregir diez vulnerabilidades significativas que afectan sus ediciones Community y Enterprise. Entre los problemas se incluyen cuatro fallos de alta severidad relacionados con ataques de cross-site scripting (XSS) y codificación incorrecta, permitiendo acciones no autorizadas por parte de usuarios malintencionados. Esta actualización es esencial para mitigar riesgos que comprometen la confidencialidad, integridad y disponibilidad del servicio.
CVE y severidad
| CVE | Tipo de vulnerabilidad | CVSS | Severidad |
|---|---|---|---|
| CVE-2025-12716 | Cross-site Scripting (XSS) | 8.7 | Alta |
| CVE-2025-8405 | Codificación incorrecta / Inyección HTML | 8.7 | Alta |
| CVE-2025-12029 | Cross-site Scripting (XSS) | 8.0 | Alta |
| CVE-2025-12562 | Denegación de Servicio (DoS) | 7.5 | Alta |
| CVE-2025-11984 | Evasión de autenticación | 6.8 | Media |
| CVE-2025-4097 | Denegación de Servicio (DoS) | 6.5 | Media |
| CVE-2025-14157 | Denegación de Servicio (DoS) | 6.5 | Media |
| CVE-2025-11247 | Divulgación de información | 4.3 | Baja |
| CVE-2025-13978 | Divulgación de información | 4.3 | Baja |
| CVE-2025-12734 | Inyección HTML | 3.5 | Baja |
Productos afectados
| Fabricante | Producto | Versiones afectadas |
|---|---|---|
| GitLab Inc. | GitLab Community Edition y Enterprise Edition | < 18.4.6, < 18.5.4 para la línea 18.5.x, < 18.6.2 para la línea 18.6.x |
Solución
Actualizar a GitLab versión 18.6.2, 18.5.4 o 18.4.6 según la línea de versión usada.
Recomendaciones
Priorizar la aplicación inmediata del parche en instalaciones autogestionadas para evitar explotación remota mediante XSS o ataques DoS; planificar ventanas de mantenimiento considerando el tiempo necesario para migraciones de base de datos, especialmente en instancias de un solo nodo.
Referencias
- GitLab Patches Multiple Vulnerabilities that Allows Attackers to Trigger XSS and DoS Attack – Cyber Security News
- NVD – CVE-2025-12716
- MITRE – CVE-2025-12716
- NVD – CVE-2025-8405
- MITRE – CVE-2025-8405
- NVD – CVE-2025-12029
- MITRE – CVE-2025-12029
- NVD – CVE-2025-12562
- MITRE – CVE-2025-12562
- NVD – CVE-2025-11984
- MITRE – CVE-2025-11984
- NVD – CVE-2025-4097
- MITRE – CVE-2025-4097
- NVD – CVE-2025-14157
- MITRE – CVE-2025-14157
- NVD – CVE-2025-11247
- MITRE – CVE-2025-11247
- NVD – CVE-2025-13978
- MITRE – CVE-2025-13978
- NVD – CVE-2025-12734
- MITRE – CVE-2025-12734