GitLab ha sido afectado por una vulnerabilidad de seguridad que permite la ejecución de acciones no autorizadas mediante ataques de Cross-site Scripting (XSS). Esta vulnerabilidad impacta a múltiples versiones del software, representando un riesgo significativo para los usuarios.
- CVE-2025-0376 (CVSS: 8.7) Se ha identificado una vulnerabilidad de tipo Cross-site Scripting (XSS) en GitLab CE/EE que permite a un atacante inyectar y ejecutar scripts maliciosos en el contexto de una aplicación web. Este tipo de vulnerabilidad puede ser explotado para robar credenciales, secuestrar sesiones de usuario o realizar acciones no autorizadas en nombre de la víctima.
Productos y versiones afectadas de GitLab CE/EE:
- desde 13.3 hasta la 17.6.4
- desde 17.7 hasta la 17.7.3
- desde 17.8 hasta la 17.8.1
Solución:
Actualizar GitLab CE/EE a las versiones:
- 17.6.5.
- 17.7.4.
- 17.8.2.
Recomendaciones:
- Mantener actualizados los sistemas con las últimas versiones de GitLab.
- Implementar medidas de seguridad adicionales como firewalls y controles de acceso para mitigar posibles ataques XSS.
- Realizar auditorías periódicas de seguridad en los sistemas para identificar y corregir vulnerabilidades potenciales.
Referencias: