Se han publicado parches críticos para cinco vulnerabilidades que afectan a las versiones 18.6 a 18.8 de GitLab Community Edition (CE) y Enterprise Edition (EE). La más grave, CVE-2026-0723, permite eludir la autenticación de dos factores mediante respuestas falsificadas. Otras vulnerabilidades incluyen ataques de denegación de servicio (DoS) que impactan integraciones clave y APIs. Se recomienda actualización inmediata para evitar compromisos de cuentas y disponibilidad.
CVE y severidad
| CVE ID | Tipo de vulnerabilidad | Severidad | CVSS | Versiones afectadas | Impacto |
|---|---|---|---|---|---|
| CVE-2026-0723 | Valor de retorno no verificado en autenticación | Alta | 7.4 | 18.6 – 18.8.x | Bypass de 2FA mediante respuestas de dispositivo falsificadas |
| CVE-2025-13927 | DoS en integración Jira Connect | Alta | 7.5 | 11.9 – 18.8.x | Interrupción de servicio no autenticada |
| CVE-2025-13928 | Autorización incorrecta en Releases API | Alta | 7.5 | 17.7 – 18.8.x | DoS no autorizado vía endpoint API |
| CVE-2025-13335 | Bucle infinito en redirecciones Wiki | Media | 6.5 | 17.1 – 18.8.x | DoS autenticado vía documentos Wiki malformados |
| CVE-2026-1102 | DoS en endpoint API por autenticación SSH | Media | 5.3 | 12.3 – 18.8.x | DoS no autenticado por solicitudes SSH malformadas |
Productos afectados
GitLab Community Edition (CE) y Enterprise Edition (EE) versiones desde 11.9 hasta 18.8, con variaciones específicas según la vulnerabilidad.
Solución
Actualizar a las versiones GitLab 18.8.2, 18.7.2, o 18.6.4 según corresponda.
Recomendaciones
Priorizar la aplicación inmediata de parches para corregir la vulnerabilidad de bypass de 2FA y mitigar ataques DoS; planificar ventanas de mantenimiento debido a posibles migraciones de base de datos en entornos de nodo único.