GitLab ha publicado una actualización de seguridad para sus versiones Community Edition (CE) y Enterprise Edition (EE), abordando varias vulnerabilidades que podrían permitir la ejecución de código malicioso, la exfiltración de datos y la interrupción del servicio.
- CVE-2025-0314 (CVSS 8.7): Un fallo en el procesamiento de ciertos archivos en GitLab permite la inyección de scripts maliciosos, lo que podría derivar en el robo de credenciales, la manipulación de sesiones o el acceso no autorizado a datos sensibles.
- CVE-2024-11931 (CVSS 6.4): Una incorrecta gestión de permisos en la funcionalidad CI lint podría permitir que desarrolladores con privilegios específicos accedan a variables protegidas de CI/CD, exponiendo información sensible y afectando la seguridad de entornos automatizados.
- CVE-2024-6324 (CVSS 4.3): La creación de referencias cíclicas entre epics en GitLab podría generar un alto consumo de recursos, afectando el rendimiento del sistema y provocando una posible denegación de servicio (DoS).
| CVE | Producto Afectado | Versión Afectada | Solución |
| CVE-2025-0314 | Community Edition y Enterprise Edition (EE) | Desde 17.2 hasta antes de 17.6.4 | Actualizar a la versión 17.6.4 o superior |
| Desde 17.7 hasta antes de 17.7.3 | Actualizar a la versión 17.7.3 o superior. | ||
| CVE-2024-11931 | Desde 17.0 hasta antes de 17.6.4 | Actualizar a la versión 17.6.4 o superior. | |
| Desde 17.7 hasta antes de 17.7.3 | Actualizar a la versión 17.7.3 o superior. | ||
| CVE-2024-6324 | Desde 15.7 hasta antes de 17.6.4 | Actualizar a la versión 17.6.4 o superior. | |
| Desde 17.7 hasta antes de 17.7.3 | Actualizar a la versión 17.7.3 o superior. | ||
| Desde 17.8 hasta antes de 17.8.1 | Actualizar a la versión 17.8.1 o superior. |
Recomendaciones:
- Actualizar GitLab de inmediato a la versión más reciente para mitigar las vulnerabilidades detectadas.
- Revisar los permisos y configuraciones de CI/CD para evitar la exposición de datos sensibles.
- Monitorear el uso de recursos del sistema para detectar posibles intentos de explotación o actividades sospechosas.
Referencias: