
GitLab publicó actualizaciones de seguridad críticas que abordan ocho vulnerabilidades en sus ediciones Community Edition (CE) y Enterprise Edition (EE), incluyendo fallos de inyección de scripts, inyección HTML, control de acceso insuficiente y exposición de credenciales. Las versiones corregidas (19.1.2, 19.0.4 y 18.11.7) fueron liberadas el 8 de julio de 2026.
La vulnerabilidad más crítica, CVE-2026-6896, es un Cross-Site Scripting (XSS) con puntaje CVSS de 8.7 que permite a un atacante autenticado con permisos de desarrollador inyectar scripts maliciosos en la sesión del navegador de otro usuario, lo que puede derivar en robo de sesión o exposición de datos sensibles.
CVE y severidad
| CVE | Severidad | Descripción | CVSS (Base) | Versiones afectadas |
|---|---|---|---|---|
| CVE-2026-6896 | Alta | Inyección de scripts cruzados (XSS) en el renderizado de tablas de evidencia (GitLab EE). | 8.7 | GitLab EE ≤ 19.1.1, ≤ 19.0.3, ≤ 18.11.6 |
| CVE-2026-13320 | Alta | Inyección HTML en el renderizado de markup de wiki (GitLab CE/EE). | N/A | GitLab CE/EE ≤ 19.1.1, ≤ 19.0.3, ≤ 18.11.6 |
| CVE-2026-11827 | Media | Exposición de credenciales en repositorios espejo (GitLab EE). | N/A | GitLab EE ≤ 19.1.1, ≤ 19.0.3, ≤ 18.11.6 |
| CVE-2026-8472 | Media | Control de acceso insuficiente en elementos de trabajo (GitLab CE/EE). | N/A | GitLab CE/EE ≤ 19.1.1, ≤ 19.0.3, ≤ 18.11.6 |
| CVE-2026-7492 | Media | Falta de autorización para inferir existencia de proyectos privados (GitLab CE/EE). | N/A | GitLab CE/EE ≤ 19.1.1, ≤ 19.0.3, ≤ 18.11.6 |
| CVE-2025-12506 | Baja | Ambigüedad en referencias de repositorios (GitLab CE/EE). | N/A | GitLab CE/EE ≤ 19.1.1, ≤ 19.0.3, ≤ 18.11.6 |
Productos afectados
| Fabricante | Producto | Versiones afectadas | Versión corregida |
|---|---|---|---|
| GitLab | GitLab Community Edition (CE) | Anteriores a 19.1.2, 19.0.4, 18.11.7 | 19.1.2 / 19.0.4 / 18.11.7 |
| GitLab | GitLab Enterprise Edition (EE) | Anteriores a 19.1.2, 19.0.4, 18.11.7 | 19.1.2 / 19.0.4 / 18.11.7 |
Los clientes de GitLab Dedicated no requieren acción.
Solución
Actualizar a las versiones 19.1.2, 19.0.4 o 18.11.7 según corresponda, siguiendo las instrucciones oficiales de actualización.
Recomendaciones
Aplicar las actualizaciones de inmediato en todas las instalaciones self-managed de GitLab CE y EE. Priorizar la remediación de CVE-2026-6896 y CVE-2026-13320 dado su potencial de explotación en entornos colaborativos donde múltiples usuarios comparten contenido de proyectos. Revisar los logs de actividad en busca de comportamientos inusuales en el renderizado de wikis, tablas de evidencias de vulnerabilidades y referencias a discusiones de commits.
