GitLab corrige ocho vulnerabilidades de seguridad en las ediciones Community y Enterprise


GitLab publicó actualizaciones de seguridad críticas que abordan ocho vulnerabilidades en sus ediciones Community Edition (CE) y Enterprise Edition (EE), incluyendo fallos de inyección de scripts, inyección HTML, control de acceso insuficiente y exposición de credenciales. Las versiones corregidas (19.1.2, 19.0.4 y 18.11.7) fueron liberadas el 8 de julio de 2026.

La vulnerabilidad más crítica, CVE-2026-6896, es un Cross-Site Scripting (XSS) con puntaje CVSS de 8.7 que permite a un atacante autenticado con permisos de desarrollador inyectar scripts maliciosos en la sesión del navegador de otro usuario, lo que puede derivar en robo de sesión o exposición de datos sensibles.

CVE y severidad

CVE Severidad Descripción CVSS (Base) Versiones afectadas
CVE-2026-6896 Alta Inyección de scripts cruzados (XSS) en el renderizado de tablas de evidencia (GitLab EE). 8.7 GitLab EE ≤ 19.1.1, ≤ 19.0.3, ≤ 18.11.6
CVE-2026-13320 Alta Inyección HTML en el renderizado de markup de wiki (GitLab CE/EE). N/A GitLab CE/EE ≤ 19.1.1, ≤ 19.0.3, ≤ 18.11.6
CVE-2026-11827 Media Exposición de credenciales en repositorios espejo (GitLab EE). N/A GitLab EE ≤ 19.1.1, ≤ 19.0.3, ≤ 18.11.6
CVE-2026-8472 Media Control de acceso insuficiente en elementos de trabajo (GitLab CE/EE). N/A GitLab CE/EE ≤ 19.1.1, ≤ 19.0.3, ≤ 18.11.6
CVE-2026-7492 Media Falta de autorización para inferir existencia de proyectos privados (GitLab CE/EE). N/A GitLab CE/EE ≤ 19.1.1, ≤ 19.0.3, ≤ 18.11.6
CVE-2025-12506 Baja Ambigüedad en referencias de repositorios (GitLab CE/EE). N/A GitLab CE/EE ≤ 19.1.1, ≤ 19.0.3, ≤ 18.11.6

Productos afectados

Fabricante Producto Versiones afectadas Versión corregida
GitLab GitLab Community Edition (CE) Anteriores a 19.1.2, 19.0.4, 18.11.7 19.1.2 / 19.0.4 / 18.11.7
GitLab GitLab Enterprise Edition (EE) Anteriores a 19.1.2, 19.0.4, 18.11.7 19.1.2 / 19.0.4 / 18.11.7

Los clientes de GitLab Dedicated no requieren acción.

Solución

Actualizar a las versiones 19.1.2, 19.0.4 o 18.11.7 según corresponda, siguiendo las instrucciones oficiales de actualización.

Recomendaciones

Aplicar las actualizaciones de inmediato en todas las instalaciones self-managed de GitLab CE y EE. Priorizar la remediación de CVE-2026-6896 y CVE-2026-13320 dado su potencial de explotación en entornos colaborativos donde múltiples usuarios comparten contenido de proyectos. Revisar los logs de actividad en busca de comportamientos inusuales en el renderizado de wikis, tablas de evidencias de vulnerabilidades y referencias a discusiones de commits.

Referencias