GitLab lanza parches de seguridad para fallas críticas en Web IDE, GraphQL y Code Flow

SeguridadNoticias

Published:

Reading time: 3 min.

GitLab publicó actualizaciones de seguridad críticas que corrigen múltiples vulnerabilidades de alta severidad en GitLab Community Edition (CE) y Enterprise Edition (EE). Los parches están disponibles en las versiones 18.8.4, 18.7.4 y 18.6.6, y solucionan fallas que podrían permitir robo de tokens, ataques DoS y Cross-Site Scripting (XSS).

GitLab.com ya ha sido actualizado, pero los administradores de instancias self-managed deben aplicar los parches de forma inmediata para mitigar riesgos de compromiso de repositorios, caída de servicios y secuestro de sesiones.

🔎 Resumen Ejecutivo de Vulnerabilidades

CVE

Severidad (CVSS)

Tipo

Impacto

CVE-2025-7659

8.0 (Alta)

Token Theft

Acceso no autenticado a tokens vía Web IDE

CVE-2025-8099

7.5 (Alta)

DoS

Caída del servicio mediante consultas GraphQL

CVE-2026-0958

7.5 (Alta)

DoS

Agotamiento de recursos por bypass en validación JSON

CVE-2025-14560

7.3 (Alta)

XSS

Inyección de scripts en la función Code Flow

Además, el boletín incluye correcciones para vulnerabilidades de severidad media como SSRF (Server-Side Request Forgery) e inyección HTML.

🔐 CVE-2025-7659: Robo de Tokens en Web IDE (CVSS 8.0)

La vulnerabilidad más crítica reside en el Web IDE de GitLab y está relacionada con una validación incompleta de acceso.

¿Qué permite?

Un atacante no autenticado podría:

  • Acceder a tokens privados

  • Leer repositorios privados

  • Exfiltrar información sensible

  • Pivotar hacia ataques internos en pipelines CI/CD

Riesgo real en entornos DevOps

En organizaciones que utilizan:

  • Tokens con permisos amplios

  • Integraciones CI/CD automatizadas

  • Acceso a registries privados

El impacto puede escalar rápidamente hacia:

  • Compromiso de código fuente

  • Inserción de código malicioso

  • Robo de secretos de infraestructura

💥 CVE-2025-8099: Denial of Service vía GraphQL

Esta vulnerabilidad permite que un atacante envíe consultas GraphQL repetidas y complejas, forzando el consumo excesivo de recursos hasta provocar la caída del servicio.

Escenario técnico

  • Múltiples queries encadenadas

  • Alta carga en resolvers

  • Saturación de CPU o memoria

  • Crash del proceso Rails

En entornos productivos, esto puede impactar:

  • Pipelines en ejecución

  • Runners conectados

  • Despliegues automatizados

  • Operaciones de merge

🧠 CVE-2026-0958: Agotamiento de Recursos por Validación JSON

Esta falla explota el middleware de validación JSON, permitiendo a un atacante enviar payloads diseñados para:

  • Evadir validaciones

  • Forzar parsing intensivo

  • Agotar memoria o CPU

Este tipo de vulnerabilidad es especialmente crítica en:

  • Instancias con alta exposición pública

  • Integraciones API externas

  • Sistemas sin limitación de rate limiting adecuada

⚠ CVE-2025-14560: Cross-Site Scripting en Code Flow

La vulnerabilidad XSS en la funcionalidad Code Flow permite la inyección de scripts maliciosos.

Posible impacto:

  • Secuestro de sesión

  • Ejecución de acciones en nombre de otro usuario

  • Robo de cookies

  • Modificación de configuraciones

En entornos corporativos donde GitLab es utilizado como plataforma central de desarrollo, esto puede comprometer cuentas con privilegios elevados.

📌 Versiones Corregidas

Actualizar inmediatamente a:

  • 18.8.4

  • 18.7.4

  • 18.6.6

Si estás en una versión anterior dentro de la misma rama menor, debes aplicar el último patch release correspondiente.

🔧 Procedimiento de Actualización (Self-Managed)

1️⃣ Verificar versión actual

gitlab-rake gitlab:env:info

2️⃣ Realizar backup completo

gitlab-backup create

3️⃣ Actualizar paquetes (Omnibus – Debian/Ubuntu)

sudo apt update
sudo apt install gitlab-ee=18.8.4-ee.0

4️⃣ Reiniciar servicios

sudo gitlab-ctl reconfigure
sudo gitlab-ctl restart

⚠ En instancias single-node puede haber breve downtime por migraciones de base de datos.

🛡 Recomendaciones de Hardening

Además de actualizar:

  • Revisar y rotar tokens de acceso

  • Implementar rate limiting en endpoints GraphQL

  • Restringir acceso al Web IDE si no es necesario

  • Configurar WAF o reverse proxy con limitación de requests

  • Auditar permisos de usuarios con acceso a Code Flow

🎯 Conclusión

Estas vulnerabilidades en GitLab demuestran nuevamente que las plataformas DevOps son objetivos críticos para atacantes, ya que concentran código fuente, secretos y pipelines de despliegue.

El riesgo más grave proviene del robo de tokens sin autenticación en el Web IDE, lo que podría derivar en compromisos completos de repositorios privados. Los ataques DoS vía GraphQL y JSON también representan un vector real para afectar disponibilidad.

Si administras una instancia self-managed, actualizar debe ser una prioridad inmediata. No basta con monitorear: es imprescindible aplicar los parches y revisar controles de acceso.

En entornos productivos, retrasar esta actualización no es una opción segura.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles