GitLab corrige vulnerabilidades críticas que permiten secuestro de cuentas e inyección de trabajos maliciosos

GitLab ha publicado una actualización de seguridad que corrige múltiples vulnerabilidades críticas en su plataforma DevSecOps, afectando a las ediciones Community (CE) y Enterprise (EE). Las fallas solucionadas van desde secuestro de cuentas, inyección de trabajos CI/CD maliciosos, hasta vulnerabilidades de denegación de servicio (DoS) y scripts maliciosos.

Una de las vulnerabilidades más críticas es CVE-2025-4278 (CVSS 9.6), una inyección de HTML que puede ser explotada por atacantes remotos para secuestrar cuentas de usuario al insertar código malicioso en la página de búsqueda.

También se corrigió CVE-2025-5121, una falla de autorización ausente que afecta a GitLab Ultimate EE. Esta vulnerabilidad permite a actores autenticados inyectar trabajos CI/CD maliciosos en canalizaciones futuras de cualquier proyecto. Para que esta falla sea explotable, es necesario contar con acceso autenticado en una instancia con licencia GitLab Ultimate.

Además, se abordaron las siguientes vulnerabilidades:

• CVE-2025-2254: vulnerabilidad de tipo Cross-Site Scripting (XSS) que permite a atacantes ejecutar código en el contexto de un usuario legítimo.
• CVE-2025-0673: vulnerabilidad de denegación de servicio (DoS) que puede provocar bucles infinitos de redirección, agotando la memoria del sistema y afectando la disponibilidad del servicio.

Productos y versiones afectadas:

• GitLab CE/EE hasta 17.10.7, 17.11.3 y 18.0.1.

Solución

• Actualizar a 17.10.8, 17.11.4 o 18.0.2.

Recomendaciones:

• Actualizar todas las instalaciones afectadas a las versiones 17.10.8, 17.11.4 o 18.0.2 según corresponda.
• Habilitar autenticación multifactor (MFA) para todos los usuarios.
• Monitorear los registros de actividad para detectar accesos o comportamientos anómalos.
• Auditar la configuración de canalizaciones CI/CD, especialmente en entornos con licencia GitLab Ultimate.
• Aplicar el principio de privilegio mínimo en la asignación de permisos de usuario.
• Evaluar la necesidad de mantener habilitadas funcionalidades expuestas al público.

Referencias:

• https://www.bleepingcomputer.com/news/security/gitlab-patches-high-severity-account-takeover-missing-auth-issues/
• https://about.gitlab.com/releases/2025/06/12/security-release-gitlab-18-0-2-released/
• https://nvd.nist.gov/vuln/detail/CVE-2025-4278
• https://nvd.nist.gov/vuln/detail/CVE-2025-5121
• https://nvd.nist.gov/vuln/detail/CVE-2025-2254
• https://nvd.nist.gov/vuln/detail/CVE-2025-0673