Múltiples vulnerabilidades en productos GitLab
Fecha de publicación 13/06/2025
Identificador
INCIBE-2025-0317
Importancia
4 - Alta
Recursos Afectados
Las siguientes versiones de GitLab Community Edition (CE), Enterprise Edition (EE) y GitLab Ultimate (EE) se ven afectadas:
- Versiones 18.0 anteriores a 18.0.2;
- Versiones 17.9 anteriores a 17.10.8,
- Versiones 17.11 anteriores a 17.11.4;
- Versiones 17.7 anteriores a 17.10.8.
El resto de versiones afectadas por las vulnerabilidades de severidad media y baja, pueden consultarse en las referencias.
Descripción
GitLab ha publicado 10 vulnerabilidades: 4 de severidad alta, 5 de severidad media y 1 de severidad baja, que podrían permitir a atacantes realizar ataques de Cross-Site Scripting (XSS), inyectar encabezados maliciosos, provocar denegaciones de servicio o acceder a información restringida.
Solución
Actualizar GitLab CE/EE y GitLab Ultimate EE a una de las siguientes versiones:
- 18.0.2;
- 17.11.4;
- 17.10.8.
Detalle
Las vulnerabilidades de severidad alta son:
- CVE-2025-4278: vulnerabilidad de inyección HTML, cuya explotación podría permitir a un atacante hacerse con el control de una cuenta inyectando código en la página de búsqueda.
- CVE-2025-2254: Cross-Site scripting (XSS) que podría permitir a un atacante actuar en el contexto de un usuario legítimo inyectando un script malicioso en el visor de fragmentos.
- CVE-2025-5121: omisión de autorización que podría permitir a un atacante con acceso autenticado a una instancia de GitLab con una licencia de GitLab Ultimate (de pago o de prueba) inyectar un trabajo de CI/CD malicioso en todas las canalizaciones de CI/CD futuras de cualquier proyecto.
- CVE-2025-0673: vulnerabilidad que podría haber permitido a un atacante exitoso denegar el acceso a usuarios legítimos del sistema objetivo al activar un bucle de redirección infinito que causaba agotamiento de la memoria en el servidor.
Para el resto de vulnerabilidades se recomienda acceder al enlace de las referencias.
Listado de referencias
