GitLab ha publicado parches de seguridad de emergencia que aborden múltiples vulnerabilidades críticas que podrían permitir a los atacantes realizar adquisiciones de cuentas y ejecutar ataques almacenados de secuencias de comandos entre sitios (XSS).
Los parches se lanzaron el 13 de agosto de 2025, afectando a Gitlab Community Edition (CE) y Enterprise Edition (EE) en las versiones 18.2.2, 18.1.4 y 18.0.6.
Control de llave
1. Gitlab reparó tres fallas de alta severidad.
2. Actualice inmediatamente a las versiones 18.0.6, 18.1.4 o 18.2.2 para evitar la explotación.
3. Afecta todas las ediciones Gitlab con algunas vulnerabilidades que se remontan a la versión 14.2.
Vulnerabilidades de secuencia de comandos de sitios cruzados
Tres vulnerabilidades XSS de alta severidad con puntajes CVSS de 8.7 representan amenazas significativas para los usuarios de GitLab.
CVE-2025-6186 representa la falla más crítica, lo que permite a los usuarios autenticados lograr la adquisición de la cuenta inyectando contenido HTML malicioso en nombres de elementos de trabajo. Esta vulnerabilidad afecta las versiones de Gitlab Ce/EE de 18.1 antes de 18.1.4 y 18.2 antes de 18.2.2.
CVE-2025-7734 impacta el componente de visor Blob, permitiendo a los atacantes ejecutar acciones en nombre de los usuarios inyectando contenido malicioso bajo ciertas condiciones.
Esta vulnerabilidad afecta a todas las versiones de 14.2 antes de las liberaciones parcheadas. CVE-2025-7739 se dirige específicamente a las descripciones de etiquetas alcanzadas, lo que permite a los usuarios autenticados lograr XS almacenados inyectando contenido HTML malicioso. Esta falla solo afecta a GitLab versión 18.2 antes de 18.2.2.
El CVSS Vector CVSS: 3.1/AV: N/AC: L/PR: L/UI: R/S: C/C: H/I: H/A: N Indica que estas vulnerabilidades pueden explotarse sobre redes con baja complejidad de ataque, que requieren solo bajos privilegios e interacción del usuario.
Vulnerabilidades de permiso y autorización
CVE-2025-8094 aborda un manejo inadecuado del problema de permisos en la API del proyecto, con una puntuación CVSS de 7.7.
Esta vulnerabilidad podría permitir a los usuarios autenticados con privilegios de mantenimiento para causar la negación del servicio a las tuberías de CI/CD de otros usuarios manipulando los recursos de infraestructura compartida más allá de su nivel de acceso previsto.
Varias vulnerabilidades de severidad media agravan los riesgos de seguridad, incluido CVE-2024-12303 para asignación de privilegios incorrectos en cuestiones de eliminación de operaciones y CVE-2024-10219 para una autorización incorrecta en API de empleos que podrían permitir el paso de controles de acceso para descargar artefactos privados.
CVETITLECVSS 3.1 ScoreSeverityCVE-2025-7734Cross-Site Problema en el espectador de Blob Impacts Gitlab CE/EE8.7HIGHCVE-2025-7739 Crocoss-Site Scripting Problema en los impactos de Gitlab Ce/Ee8.7highCve-2025-6186 Cross-Site Scripts en los impactos de las etiquetas Ce/Ee8.7highCve-2025-6186-Site Scripts en los impactos de los trabajos de los trabajos en el trabajo de Gitlab Ce/Ee8.7highCve-2025-6186-Site. Gitlab CE/EE8.7HIGHCVE-2025-8094Mproper Manejo de la emisión de permisos en el proyecto API Impactos Gitlab CE/EE7.7HIGHCVE-2024-12303 Incorrecto de incorrecto El problema de asignación de la asignación en los problemas de operación de la operación de los impactos Gitlab Ce/Ee6.7Mediumcve-2025-2614Allocational de los recursos de los recursos de la operación de los problemas de la Operación en los impactos Gitlab CE/EE6.7Mediumcve-2025-2614alatication de los recursos de los recursos de la Operación. Gitlab CE/EE6.5MediumCve-2024-10219 Problema de autorización incorrecta en trabajos API Impactos Gitlab Ce/Ee6.5MediumCve-2025-8770 Problema de autorización de la API en la solicitud de la solicitud de aprobación de la solicitud de la solicitud de los impactos Gitlab EE6.5MediumcVe-2025-2937inferentes de la expresión regular en la solicitud en WIKI Gitlab Ee6.5MediumcVe-2025-2937inference Complexidad regular en WIKI Gitlab EE6.5MediumcVe-2025-2937 Entrol de la expresión regular en WIKI WIKI GITLAB EE6.5MediumcVe-2025-2937 Entrol de la expresión regular en WIKI Gitlab CE/EE6.5MediumcVe-2025-1477 La realización de los recursos sin límites de problemas en la materia La mayor integración impacta Gitlab CE/EE6.5MediumcVe-2025-5819 Incorrecto de la asignación de permiso Incopiar en el problema de asignación de ID de ID EE3.1LOW
Mitigaciones
Gitlab Recomienda encarecidamente Actualizaciones inmediatas a las últimas versiones parcheadas para todas las instalaciones autogestionadas.
Las vulnerabilidades fueron descubiertas a través del programa Hackerone Bug Bounty de Gitlab por investigadores de seguridad, incluidos Joaxcar, YVVDWF, Abdelrahman_Maged y otros.
Las instancias de Gitlab.com ya están ejecutando versiones parchadas, mientras que los clientes dedicados de GitLab no requieren ninguna acción.
Los parches incluyen migraciones regulares y migraciones posteriores a la implementación que pueden afectar los procesos de actualización, particularmente para instancias de un solo nodo, que experimentarán el tiempo de inactividad durante las actualizaciones.
Las organizaciones deben priorizar estas actualizaciones, ya que la combinación de capacidades de adquisición de cuentas y los vectores de explotación de XSS presenta riesgos de seguridad significativos para los flujos de trabajo de desarrollo y los repositorios confidenciales de código.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
