GitLab ha publicado actualizaciones de seguridad críticas para sus ediciones Community Edition (CE) y Enterprise Edition (EE), corrigiendo varias vulnerabilidades de alta gravedad que ponen en riesgo la autenticación, pueden permitir el robo de credenciales y provocar caídas del servicio mediante ataques de Denegación de Servicio (DoS). Se recomienda a los administradores de instalaciones autogestionadas actualizar urgentemente a las versiones 18.6.1, 18.5.3 o 18.4.5 para mitigar estos riesgos.
CVE y severidad
| CVE ID | Severidad | Tipo | Descripción |
|---|---|---|---|
| CVE-2024-9183 | Alta | Escalada de privilegios | Condición de carrera en la caché CI/CD que permite obtener credenciales con privilegios superiores. |
| CVE-2025-12571 | Alta | Denegación de Servicio | Usuarios no autenticados pueden provocar la caída del sistema mediante una entrada JSON maliciosa. |
| CVE-2025-12653 | Media | Bypass de autenticación | Usuarios no autenticados pueden unirse a organizaciones arbitrarias alterando cabeceras HTTP. |
| CVE-2025-7449 | Media | Denegación de Servicio | Usuarios autenticados pueden causar una caída mediante el procesamiento de respuestas HTTP. |
| CVE-2025-6195 | Media | Autorización incorrecta (solo EE) | Los usuarios podrían ver informes de seguridad restringidos bajo ciertas condiciones. |
| CVE-2025-13611 | Baja | Divulgación de información | Filtración de tokens sensibles en los registros del registro terraform. |
Productos afectados
| Fabricante | Producto | Versiones afectadas |
|---|---|---|
| GitLab Inc. | GitLab Community Edition (CE) | Versiones menores a 18.4.5, 18.5.3, 18.6.1 |
| GitLab Inc. | GitLab Enterprise Edition (EE) | Versiones menores a 18.4.5, 18.5.3, 18.6.1 |
Solución
Actualizar a las versiones 18.6.1, 18.5.3 o 18.4.5 según la línea utilizada.
Recomendaciones
Se recomienda aplicar las actualizaciones a la brevedad para evitar exposición a ataques que pueden derivar en escalada de privilegios y denegación de servicio; las actualizaciones en entornos de nodo único implican tiempo de inactividad debido a migraciones en bases de datos, mientras que en entornos multinodo se puede realizar la actualización sin interrupciones.