Múltiples vulnerabilidades en productos GitLab
Las siguientes versiones de GitLab Community Edition (CE) y Enterprise Edition (EE) se ven afectadas:
- Desde la versión 16.6 hasta 17.9.6;
- Desde la versión 17.10 hasta 17.10.4;
- Desde la versión 17.11 hasta 17.11.0.
GitLab ha publicado 5 vulnerabilidades: 3 de severidad alta y 2 de severidad media que podrían permitir a atacantes realizar ataques de Cross-Site Scripting (XSS), inyectar encabezados maliciosos, provocar denegaciones de servicio o acceder a información restringida.
Actualizar GitLab CE/EE a una de las siguientes versiones:
- 17.11.1
- 17.10.5
- 17.9.7
Dos de las vulnerabilidades de severidad alta son de tipo Cross-Site Scripting (XSS) en Maven Dependency Proxy mediante directivas CSP y encabezados de caché. Podrían permitir a un atacante autenticado ejecutar scripts maliciosos en el navegador de la víctima o a través de encabezados de caché manipulados, eludiendo políticas de seguridad de contenido. Se han asignado los identificadores CVE-2025-1763 y CVE-2025-2443 para estas vulnerabilidades.
La otra vulnerabilidad de severidad alta se describe como inyección de encabezados NEL en Maven Dependency Proxy, la cual permite a un atacante monitorear la actividad de navegación del usuario y tomar control de su cuenta. Se ha asignado el identificador CVE-2025-1908 para esta vulnerabilidad.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2025-1908 y CVE-2024-12244
