GitLab ha publicado actualizaciones de seguridad urgentes para las ediciones Community y Enterprise (versiones 18.10.3, 18.9.5 y 18.8.9), corrigiendo vulnerabilidades de alta severidad que permiten ataques de denegación de servicio (DoS) e inyección de código a través de conexiones WebSocket, API de bloqueo de estado Terraform y consultas GraphQL.
CVE y severidad
| CVE | CVSS | Severidad | Descripción |
|---|---|---|---|
| CVE-2026-5173 | 8.5 | Alta | Un atacante autenticado puede ejecutar comandos no intencionados en el servidor vía conexiones WebSocket por controles de acceso incorrectos. |
| CVE-2026-1092 | 7.5 | Alta | Un usuario no autenticado puede provocar un DoS enviando datos JSON mal validados al API de bloqueo del estado Terraform. |
| CVE-2025-12664 | 7.5 | Alta | Atacantes sin cuenta pueden causar un DoS saturando el servidor con consultas repetidas en GraphQL. |
| CVE-2026-1516 | 5.7 | Media | Un usuario autenticado puede inyectar código malicioso en reportes de calidad de código para filtrar IPs de otros usuarios. |
| CVE-2026-1403 | 6.5 | Media | Validación débil de archivos CSV puede permitir crash en procesos Sidekiq durante importación. |
| CVE-2026-4332 | 5.4 | Media | Filtrado deficiente en paneles analíticos permite ejecución remota de JavaScript malicioso en navegadores. |
| CVE-2026-1101 | 6.5 | Media | Validación incorrecta en consultas GraphQL permite a usuario autenticado causar DoS al sistema completo. |
| CVE-2026-2619 | 4.3 | Baja | Permite a usuarios con privilegios auditor modificar datos de banderas de vulnerabilidad en proyectos privados. |
| CVE-2025-9484 | 4.3 | Baja | Divulgación de información: usuarios autenticados pueden ver correos electrónicos de otros mediante consultas GraphQL específicas. |
| CVE-2026-1752 | 4.3 | Baja | Controles de acceso insuficientes permiten a desarrolladores modificar configuraciones protegidas del entorno. |
| CVE-2026-2104 | 4.3 | Baja | Comprobaciones insuficientes de autorización en exportaciones CSV permiten acceso a incidencias confidenciales asignadas a otros. |
| CVE-2026-4916 | 2.7 | Baja | Falta chequeo de autorización que permite a usuarios con roles personalizados degradar o eliminar miembros con mayores privilegios. |
Productos afectados
|
Fabricante |
Producto |
Versión(es) afectada(s) |
|---|---|---|
|
GitLab Inc. |
GitLab Community Edition (CE) |
Antes de 18.10.3, 18.9.5 |
|
GitLab Inc. |
Enterprise Edition (EE) |
Antes de 18.8.9 |
Solución
- Actualizar GitLab Community Edition (CE) a las versiones 18.10.3, 18.9.5.
- Actualizar GitLab Enterprise Edition (EE) a la versión 18.8.9.
Recomendaciones
Se recomienda priorizar la actualización inmediata en todas las instalaciones autogestionadas para mitigar los riesgos de denegación de servicio e inyección de código.
Referencias
-
- https://cybersecuritynews.com/gitlab-patches-multiple-vulnerabilities-2/
- NVD – CVE-2026-5173
- MITRE – CVE-2026-5173
- NVD – CVE-2026-1092
- MITRE – CVE-2026-1092
- NVD – CVE-2025-12664
- MITRE – CVE-2025-12664
- NVD – CVE-2026-1516
- NVD – CVE-2026-1403
- NVD – CVE-2026-4332
- NVD – CVE-2026-1101
- NVD – CVE-2026-2619
- NVD – CVE-2025-9484
- NVD – CVE-2026-1752
- NVD – CVE-2026-2104
- NVD – CVE-2026-4916
- MITRE – CVE general reference for GitLab vulnerabilities