Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en productos GitLab

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en productos GitLab

Aviso
Recursos Afectados

Las siguientes versiones de GitLab Community Edition (CE) y Enterprise Edition (EE) se ven afectadas:

  • Desde la versión 16.6 hasta 17.9.6;
  • Desde la versión 17.10 hasta 17.10.4;
  • Desde la versión 17.11 hasta 17.11.0.
Descripción

GitLab ha publicado 5 vulnerabilidades: 3 de severidad alta y 2 de severidad media que podrían permitir a atacantes realizar ataques de Cross-Site Scripting (XSS), inyectar encabezados maliciosos, provocar denegaciones de servicio o acceder a información restringida.

Identificador
INCIBE-2025-0425

4 – Alta
Solución

Actualizar GitLab CE/EE a una de las siguientes versiones:

  • 17.11.1
  • 17.10.5
  • 17.9.7
Detalle

Dos de las vulnerabilidades de severidad alta son de tipo Cross-Site Scripting (XSS) en Maven Dependency Proxy mediante directivas CSP y encabezados de caché. Podrían permitir a un atacante autenticado ejecutar scripts maliciosos en el navegador de la víctima o a través de encabezados de caché manipulados, eludiendo políticas de seguridad de contenido. Se han asignado los identificadores CVE-2025-1763 y CVE-2025-2443 para estas vulnerabilidades.

La otra vulnerabilidad de severidad alta se describe como inyección de encabezados NEL en Maven Dependency Proxy, la cual permite a un atacante monitorear la actividad de navegación del usuario y tomar control de su cuenta. Se ha asignado el identificador CVE-2025-1908 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2025-1908 y CVE-2024-12244

Listado de referencias
GitLab Patch Release: 17.11.1, 17.10.5, 17.9.7

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.