GitLab ha liberado urgentemente las versiones 18.5.1, 18.4.3 y 18.3.5 para Community Edition (CE) y Enterprise Edition (EE) corrigiendo múltiples fallos de seguridad críticos, incluyendo vulnerabilidades de denegación de servicio (DoS) de alta severidad y fallos en control y autorización de accesos para usuarios autenticados. Estas fallas permiten ataques remotos que podrían interrumpir servicios y comprometer la integridad operativa de las instancias auto-administradas, por lo que se recomienda actualizar de inmediato.
CVE y severidad
| CVE | Descripción | Severidad | CVSS | Versiones afectadas (CE/EE) |
|---|---|---|---|---|
| CVE-2025-10497 | DoS en recolección de eventos | Alta | 7.5 |
Desde v17.10 antes de 18.3.5 18.4 antes de 18.4.3 18.5 antes de 18.5.1 |
| CVE-2025-11447 | DoS en validación JSON (GraphQL) | Alta | 7.5 |
Desde v11.0 antes de 18.3.5 18.4 antes de 18.4.3 18.5 antes de 18.5.1 |
| CVE-2025-11974 | DoS en carga de archivos | Media | 6.5 |
Desde v11.7 antes de 18.3.5 18.4 antes de 18.4.3 18.5 antes de 18.5.1 |
| CVE-2025-11702 | Control de acceso indebido en API runner (EE) | Alta | 8.5 | Afecta EE (versiones no especificadas) |
| CVE-2025-11971 | Autorización incorrecta en compilaciones de pipelines (CE) | Media | 6.5 | Afecta CE (versiones no especificadas) |
| CVE-2025-6601 | Error lógica de negocio en membresías de grupo (EE) | Baja | 3.8 | Afecta EE (versiones no especificadas) |
| CVE-2025-11989 | Faltas de autorización en acciones rápidas | Baja | 3.7 | Afecta versiones no especificadas |
Productos afectados
Las vulnerabilidades impactan principalmente las ediciones Community Edition (CE) y Enterprise Edition (EE) de GitLab desde versiones 11.0 en adelante hasta sus respectivas últimas versiones previas a los parches liberados.
Solución
Actualizar a versiones 18.5.1, 18.4.3 o 18.3.5 según corresponda para mitigarlas.
Recomendaciones
Se recomienda encarecidamente aplicar las actualizaciones a la brevedad en todas las instalaciones auto-gestionadas, incluyendo despliegues Omnibus, desde el código fuente y mediante helm para clusters Kubernetes; mantener buenas prácticas de parcheo regular y luego validar la estabilidad del sistema para evitar interrupciones posibles.
Referencias
- Fuente original – Cyber Security News
- NVD – CVE-2025-10497
- MITRE – CVE-2025-10497
- NVD – CVE-2025-11447
- MITRE – CVE-2025-11447
- NVD – CVE-2025-11974
- MITRE – CVE-2025-11974
- NVD – CVE-2025-11702
- MITRE – CVE-2025-11702
- NVD – CVE-2025-11971
- MITRE – CVE-2025-11971
- NVD – CVE-2025-6601
- MITRE – CVE-2025-6601
- NVD – CVE-2025-11989
- MITRE – CVE-2025-11989