GitLab corrige vulnerabilidades críticas en CI/CD

GitLab, la popular plataforma DevSecOps, ha lanzado una serie de actualizaciones de seguridad para abordar múltiples vulnerabilidades críticas que afectan tanto a su edición Community como Enterprise. Entre los fallos corregidos se encuentran aquellos que podrían permitir a atacantes remotos tomar el control de cuentas, inyectar trabajos maliciosos en canalizaciones CI/CD y realizar ataques de denegación de servicio.

Las actualizaciones de seguridad fueron liberadas en las versiones 18.0.2, 17.11.4 y 17.10.8. GitLab recomendó a todos los administradores de instalaciones autogestionadas actualizar inmediatamente para evitar la explotación de estas fallas.

Citar"Estas versiones contienen importantes correcciones de errores y seguridad. Recomendamos encarecidamente que todas las instalaciones autogestionadas se actualicen de inmediato", indicó GitLab. "GitLab.com ya opera con versiones parcheadas y los clientes de GitLab Dedicated no requieren ninguna acción adicional".

Principales vulnerabilidades corregidas

CVE-2025-4278 – Inyección de HTML y secuestro de cuentas

La vulnerabilidad CVE-2025-4278 permite a atacantes remotos inyectar código HTML malicioso en la página de búsqueda, lo que podría derivar en toma de control de cuentas al ejecutar scripts en el navegador de los usuarios.

CVE-2025-5121 – Inyección de trabajos CI/CD

Otra falla grave, identificada como CVE-2025-5121, afecta a las instancias con licencia de GitLab Ultimate EE. Esta vulnerabilidad permite a usuarios autenticados inyectar trabajos maliciosos en canalizaciones CI/CD de cualquier proyecto, comprometiendo el flujo de integración continua y la integridad del entorno DevOps.

¿Cómo funcionan las canalizaciones CI/CD en GitLab?

Las canalizaciones CI/CD de GitLab son componentes esenciales del proceso de desarrollo moderno. Permiten a los equipos automatizar la creación, prueba e implementación de código, ya sea de forma secuencial o en paralelo. La manipulación de estas canalizaciones por actores maliciosos representa un riesgo crítico para la seguridad del software y la infraestructura empresarial.

Otras vulnerabilidades críticas

Además, GitLab solucionó:

• CVE-2025-2254: una vulnerabilidad de XSS (cross-site scripting) que permitiría a atacantes ejecutar acciones maliciosas en nombre de usuarios legítimos.
• CVE-2025-0673: una vulnerabilidad de denegación de servicio (DoS) que podía provocar bucles de redireccionamiento infinitos, agotando recursos y dejando la plataforma inoperativa.

GitLab: objetivo frecuente de ciberataques

Los repositorios GitLab son objetivos frecuentes de ciberataques dirigidos a robar información confidencial, claves API, credenciales o código propietario. Este riesgo quedó evidenciado en los incidentes recientes que afectaron a Europcar Mobility Group y Pearson, cuyos repositorios fueron comprometidos durante el primer trimestre de 2025.

GitLab en cifras

La plataforma DevSecOps de GitLab cuenta con más de 30 millones de usuarios registrados y es utilizada por más del 50% de las empresas Fortune 100, incluyendo nombres como Goldman Sachs, Airbus, T-Mobile, Lockheed Martin, Nvidia y UBS.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta