GitLab ha publicado actualizaciones urgentes para corregir múltiples vulnerabilidades que afectan tanto a la Community Edition como a la Enterprise Edition. Entre estas, destaca una falla crítica de inyección de comandos en la función de revisión de GitLab Duo que permite a atacantes filtrar datos sensibles. Además, se corrigieron fallos que permiten la ejecución de scripts maliciosos y la omisión de controles de acceso, poniendo en riesgo información confidencial y la integridad de los flujos de trabajo.
CVE y severidad
| CVE | Vulnerabilidad | Tipo | Severidad | CVSS Base |
|---|---|---|---|---|
| CVE-2025-11224 | Cross-site scripting en proxy Kubernetes | XSS | Alta | 7.7 |
| CVE-2025-11865 | Falla de autorización incorrecta en workflows | Omite autorización | Media | 6.5 |
| CVE-2025-2615 | Divulgación de información en suscripciones GraphQL | Divulgación de información | Media | 4.3 |
| CVE-2025-7000 | Divulgación de información en control de acceso | Divulgación de información | Media | 4.3 |
| CVE-2025-6945 | Inyección de comandos en revisión GitLab Duo | Inyección de comandos | Baja | 3.5 |
| CVE-2025-6171 | Divulgación de información en API packages | Divulgación de información | Baja | 3.1 |
| CVE-2025-11990 | Path traversal desde cliente en nombres de ramas | Path Traversal | Baja | 3.1 |
| CVE-2025-7736 | Control de acceso inadecuado en GitLab Pages | Control de acceso | Baja | 3.1 |
| CVE-2025-12983 | Denegación de servicio mediante Markdown malicioso | Denegación de servicio | Baja | 3.1 |
Productos afectados
| Producto | Edición | Versiones afectadas |
|---|---|---|
| GitLab Duo review feature | Enterprise Edition | 17.9 y posteriores |
| Kubernetes proxy (k8s) | Community & Enterprise Edition | 15.10 y posteriores |
| Workflows AI flows | Todas las ediciones relevantes | – |
| GraphQL subscriptions, packages API, branch names, GitLab Pages, markdown renderer | Todas las ediciones relevantes | – |
| Instalaciones self-managed GitLab/server locales | Todas las ediciones relevantes | – |
Solución
Actualizar inmediatamente a las versiones 18.5.2, 18.4.4 o 18.3.6 según corresponda.
Recomendaciones
Priorizar la aplicación inmediata de estos parches para todas las instalaciones autogestionadas; planificar ventanas de mantenimiento considerando posibles migraciones de base de datos y tiempo de inactividad parcial o cero según arquitectura (instancia única o multinodo).
Referencias
- Noticia original en Cyber Security News – GitLab patches críticas por vulnerabilidades múltiples
- NVD – CVE-2025-11224 (XSS en proxy Kubernetes)
- NVD – CVE-2025-11865 (Omite autorización en workflows)
- NVD – CVE-2025-2615 (Divulgación en suscripciones GraphQL)
- NVD – CVE-2025-7000 (Divulgación en control de acceso)
- NVD – CVE-2025-6945 (Inyección de comandos en GitLab Duo)
- NVD – CVE-2025-6171 (Divulgación en API packages)
- NVD – CVE-2025-11990 (Path traversal en nombres de ramas)
- NVD – CVE-2025-7736 (Control acceso inadecuado GitLab Pages)
- NVD – CVE-2025-12983 (Denegación de servicio via Markdown)
- MITRE – CVE-2025-11224
- MITRE – CVE-2025-11865
- MITRE – CVE-2025-2615
- MITRE – CVE-2025-7000
- MITRE – CVE-2025-6945
- MITRE – CVE-2025-6171
- MITRE – CVE-2025-11990
- MITRE – CVE-2025-7736
- MITRE – CVE-2025-12983
- BleepingComputer – Vulnerabilidades múltipes en GitLab permiten inyección maliciosa para extraer datos
- Dark Reading – Nuevas vulnerabilidades en GitLab exponen riesgos asociados a inyección de prompts AI
- Hacker News – Debate sobre parches recientes en GitLab para vulnerabilidades críticas