GitLab ha lanzado actualizaciones de seguridad críticas para sus ediciones Community (CE) y Enterprise (EE), abordando múltiples vulnerabilidades que incluyen fallos de cross-site scripting (XSS) de alta severidad y exposiciones indebidas de datos internos. Las versiones parcheadas—18.2.1, 18.1.3 y 18.0.5—corrigen vulnerabilidades que podrían comprometer la confidencialidad, integridad o disponibilidad de los entornos afectados.
Vulnerabilidades identificadas:
- CVE-2025-4700 – ( CVSS 8.7 Alta severidad): Vulnerabilidad de cross-site scripting en la funcionalidad de proxy de Kubernetes. Un atacante autenticado podría provocar la ejecución de scripts maliciosos en el navegador del usuario, comprometiendo la integridad de las sesiones.
- CVE-2025-4439 – ( CVSS 7.7 Alta severidad): Vulnerabilidad XSS que se presenta cuando la instancia GitLab es expuesta mediante ciertos CDNs. Permite a usuarios autenticados ejecutar scripts arbitrarios en condiciones específicas.
Productos y Versiones afectadas
GitLab CE/EE:
- Desde la versión 15.0 hasta antes de 18.0.5
- 18.1 hasta antes de 18.1.3
- 18.2 hasta antes de 18.2.1
GitLab EE (solo CVE-2025-4976):
- Desde la versión 17.0 hasta antes de 18.0.5
Solución
Actualizar a una de las siguientes versiones corregidas: 18.2.1, 18.1.3 y 18.0.5
Recomendaciones
- Actualizar de inmediato a las versiones corregidas.
- Auditar logs de acceso API y visualización de recursos sensibles.
- Aplicar revisiones de configuración en proxies CDN si se utilizan.
- Activar alertas sobre accesos inusuales o comportamientos anómalos en la interfaz.
- Considerar aislamiento de funcionalidades como GitLab Duo si no se utilizan activamente.
Referencias