GitLab emite parches de emergencia contra XSS y DoS no autenticado en versiones CE y EE

GitLab publicó parches de emergencia que corrigen 7 vulnerabilidades de alta severidad. Las más críticas permiten inyección de código JavaScript malicioso en interfaces de usuarios autenticados y denegación de servicio sin necesidad de autenticación sobre pipelines CI/CD. Las instancias self-hosted no parcheadas representan un riesgo inmediato para la cadena de desarrollo de software.

CVE y severidad

CVE Descripción Severidad Puntuación CVSS
CVE-2026-7481 XSS en renderizado de gráficos del panel de analíticas Alta 8.7
CVE-2026-5297 XSS en búsqueda global Alta 8.7
CVE-2026-6073 XSS en renderizado de salida del agente Duo Alta 8.7
CVE-2026-1659 DoS sin autenticación en la API de actualización de trabajos CI/CD Alta 7.5
CVE-2025-14870 DoS sin autenticación en la API de Duo Workflows Alta 7.5
CVE-2025-14869 DoS sin autenticación en endpoints internos de API Alta 7.5
CVE-2026-1322 Autorización incorrecta en alcance de tokens GraphQL Media 6.8

Productos afectados

Fabricante Producto Versiones afectadas
GitLab Inc. GitLab Community Edition y Enterprise Edition autoalojados Antes de 18.11.3, 18.10.6 y 18.9.7 respectivamente

Solución

Actualizar inmediatamente a las versiones 18.11.3, 18.10.6 o 18.9.7 según corresponda.

Recomendaciones

Actualizar de forma inmediata todas las instancias self-hosted de GitLab según la rama en uso, revisar logs de acceso en busca de actividad anómala en las APIs de CI/CD y búsqueda global, rotar tokens y credenciales en instancias potencialmente expuestas, y como medida temporal restringir a nivel de firewall o WAF el acceso a los endpoints vulnerables desde redes no confiables hasta confirmar la aplicación del parche.

Referencias