GitLab ha lanzado parches de seguridad críticos para sus plataformas Community Edition (CE) y Enterprise Edition (EE), con el objetivo de corregir 11 vulnerabilidades. Entre estas, destacan tres fallas de alto riesgo que podrían facilitar ataques de denegación de servicio (DoS).
La publicación coordinada de las versiones 18.0.1, 17.11.3 y 17.10.7 se produce en un momento en que la plataforma DevOps enfrenta múltiples vectores de ataque. Estos podrían desestabilizar los sistemas mediante el agotamiento de recursos, omisiones de autenticación y riesgos de exposición de datos.
Esta actualización representa la acción de remediación más completa de GitLab en 2025, afectando a todos los modelos de implementación, incluyendo instalaciones generales, de código fuente y gráficos de timón.
La vulnerabilidad más grave (CVE-2025-0993) permite a atacantes autenticados provocar el agotamiento de los recursos del servidor a través de un punto final de blob grande desprotegido, con una puntuación de 7,5 en la escala CVSS v3.1.
Esta falla de alta gravedad afecta a todas las instalaciones anteriores a las versiones parcheadas, lo que permite a los actores de amenazas abrumar los sistemas al enviar repetidamente cargas útiles de datos de gran tamaño.
El equipo de seguridad de GitLab confirmó que la vulnerabilidad podría provocar un tiempo de inactividad prolongado en entornos desprotegidos.
Se identificaron dos vectores DoS adicionales de gravedad media en los sistemas de posicionamiento de notas e integración de Kubernetes.
CVE-2025-3111 expone los clústeres a ataques ilimitados de generación de tokens a través de una validación de entrada inadecuada, mientras que CVE-2025-2853 permite a los atacantes explotar posiciones de notas no validadas para interrumpir la disponibilidad del servicio.
Estas vulnerabilidades en conjunto permiten ataques multifacéticos dirigidos a capas de infraestructura, desde la orquestación de contenedores hasta el manejo de datos a nivel de aplicación.
Una cuarta vía DoS surgió a través de las integraciones de webhooks de Discord (CVE-2024-7803), donde las cargas útiles con formato incorrecto podrían bloquear subsistemas críticos.
Los investigadores de seguridad señalan que esta vulnerabilidad resalta la creciente superficie de ataque proveniente de integraciones de plataformas de terceros en entornos DevOps.
Más allá de las amenazas DoS, la actualización aborda varias fallas de autenticación, incluida CVE-2024-12093, una debilidad de validación SAML que permite respuestas modificadas para eludir los requisitos de autenticación de dos factores en condiciones específicas.
Esta vulnerabilidad de gravedad media afecta a las versiones 11.1 a 17.10 y podría permitir la apropiación de cuentas mediante respuestas diseñadas del proveedor de identidades.
La versión parcheada también resuelve CVE-2025-4979, donde los atacantes podrían exponer variables CI/CD enmascaradas al analizar las respuestas HTTP durante la creación de variables.
Esta falla de divulgación de información potencialmente expone credenciales confidenciales como claves API y tokens de implementación.
Al mismo tiempo, CVE-2025-0679 corrige un descuido de la interfaz de usuario que revela direcciones de correo electrónico completas que deberían ocultarse parcialmente, lo que genera riesgos de phishing e ingeniería social.
Las vulnerabilidades de baja gravedad incluyen CVE-2024-9163, que permite la confusión de nombres de sucursales en solicitudes de fusión confidenciales, y CVE-2025-1110, que permite el acceso no autorizado de GraphQL a los datos del trabajo.
Si bien son menos críticas, estas fallas demuestran desafíos de autorización persistentes en flujos de trabajo complejos de DevOps.
Recomendaciones
GitLab exige actualizaciones inmediatas a las versiones parcheadas, y 17.10.7, 17.11.3 y 18.0.1 contienen correcciones para todas las vulnerabilidades reportadas.
La plataforma mantiene su cadencia de parches dos veces al mes, y esta versión sigue el ciclo de actualización programado en lugar de procesos de corrección de emergencia.
Los equipos de seguridad deben priorizar la revisión de las configuraciones del clúster de Kubernetes, las integraciones de webhooks y las implementaciones de SAML incluso después de aplicar las actualizaciones.
GitLab recomienda implementar listas de permitidos salientes para la protección SSRF y auditar los permisos variables de CI/CD como salvaguardas secundarias.
La organización continúa aprovechando su programa de recompensas por errores HackerOne, y siete de las once vulnerabilidades se atribuyen a investigadores externos.
Para las empresas que utilizan canales de implementación automatizados, GitLab recomienda encarecidamente validar las imágenes de los contenedores mediante sus compilaciones compatibles con FIPS y actualizar las configuraciones del ejecutor al mismo tiempo que se realizan las actualizaciones de la plataforma principal.
Esta actualización de seguridad coincide con mejoras en la infraestructura, como optimizaciones de consultas de Elasticsearch y la alineación de la versión del módulo Nginx.
Dado que las plataformas DevOps son cada vez más un objetivo de ataque, este lanzamiento coordinado de parches resalta la necesidad crítica de una gestión continua de las vulnerabilidades en las cadenas de suministro de software.
