GitLab ha liberado actualizaciones de seguridad críticas para solucionar diversas vulnerabilidades de alta severidad presentes en su plataforma, lo que subraya su compromiso con la seguridad ante el panorama creciente de amenazas cibernéticas.
La compañía ha publicado las versiones 17.11.1, 17.10.5 y 17.9.7, tanto para la Community Edition (CE) como para la Enterprise Edition (EE).
Estas actualizaciones corrigen fallos significativos, incluyendo vulnerabilidades de secuencias de comandos entre sitios (XSS), denegación de servicio (DoS) y riesgos de apropiación de cuentas, además de incorporar un conjunto de importantes correcciones de errores.
La actualización de seguridad aborda varias vulnerabilidades importantes que planteaban riesgos sustanciales para las instalaciones de GitLab.
Se han solucionado dos problemas críticos de secuencias de comandos entre sitios (XSS) en Maven Dependency Proxy.
La primera vulnerabilidad (CVE-2025-1763) permitió a los atacantes eludir las directivas de la política de seguridad de contenido y recibió una puntuación CVSS alta de 8,7.
También se solucionó una vulnerabilidad XSS casi idéntica que explotaba encabezados de caché mal configurados y se le asignó el identificador CVE-2025-2443.
Además, GitLab parchó una vulnerabilidad de inyección de encabezado de registro de errores de red (NEL) (CVE-2025-1908, CVSS 7.7) que podría permitir a actores maliciosos monitorear la actividad del navegador del usuario, facilitando potencialmente la apropiación completa de cuentas.
Una vulnerabilidad de denegación de servicio (DoS) de gravedad media que afecta a la función de vista previa del problema se solucionó bajo CVE-2025-0639 con una puntuación CVSS de 6,5.
Además, se solucionó una falla de control de acceso que permitía la visualización no autorizada de nombres de sucursales incluso cuando los activos del repositorio estaban deshabilitados y se le asignó CVE-2024-12244 con una puntuación de 4,3.
Los lanzamientos de parches de GitLab también resuelven una variedad de errores impactantes, mejorando aún más la estabilidad y el rendimiento:
17.11.1
- Seguridad de canalización: enable_composite_identities_to_run_pipelines ahora está protegido detrás de una marca de característica.
- Integración de Amazon Q: se corrigieron desconexiones y errores de documentación para Amazon Q.
- Mejoras de CI/CD: conversión de cadenas corregida para entradas de CI; Manejo mejorado de las últimas plantillas de DS con Static Reachability.
- Cloud Connector: los tokens ahora se sincronizan cada hora para una mayor confiabilidad.
- Workhorse y Gitaly: dependencias actualizadas para mejorar el rendimiento y la estabilidad.
- Correcciones de la interfaz de usuario: se resolvieron problemas de archivos adjuntos en la nueva apariencia de la interfaz.
17.10.5
- Ubicación de la sala de correo: se solucionaron problemas de ruta de la sala de correo de la imagen base universal (UBI).
- Actualización de Go gRPC: actualizado a la versión 1.71.1 para mayor seguridad.
- Indexación Zoekt: múltiples correcciones para el filtrado de proyectos, la gestión de nodos y el desalojo instantáneo de índices.
- Seguridad de la sesión: las cookies de sesión ahora se borran cuando se cierra el navegador, lo que reduce el riesgo de secuestro de sesión.
- Relleno de eventos de IA: relleno de datos mejorado de PostgreSQL a ClickHouse.
- Cloud Connector: parche de sincronización de tokens por hora respaldado.
17.9.7
- FIPS y UBI: correcciones de nombres de canalizaciones respaldadas para cumplimiento.
- Claves de cifrado: se introdujo la tarea gitlab:doctor:encryption_keys para facilitar la administración de claves.
- Workhorse y Gitaly: dependencias actualizadas para mayor estabilidad.
- Ubicación de la sala de correo: corrección de la ruta de la sala de correo de UBI respaldada.
- Vaya a la actualización de gRPC: actualización de seguridad a 1.71.1.
A medida que las amenazas cibernéticas continúan evolucionando en sofisticación, GitLab mantiene su enfoque proactivo a través de una comunicación transparente y parches de seguridad oportunos.
Según el aviso, los expertos en seguridad recomiendan encarecidamente que las organizaciones actualicen sus instalaciones de inmediato para mitigar los riesgos asociados con estas vulnerabilidades conocidas.
Esta actualización ejemplifica la naturaleza colaborativa de la comunidad de código abierto, y los informes de vulnerabilidad enviados a través del programa de recompensas por errores de HackerOne reciben reconocimiento.
A medida que el panorama de las amenazas digitales se vuelve cada vez más complejo, las organizaciones deben adherirse a las mejores prácticas de ciberseguridad, incluidas auditorías periódicas del sistema y una rápida aplicación de actualizaciones, para garantizar un servicio continuo y una protección de datos.
