Las versiones 18.10.3, 18.9.5 y 18.8.9 corrigen fallos críticos en WebSockets, Terraform API y GraphQL. Instancias auto-gestionadas deben actualizar de inmediato.
GitLab liberó el 8 de abril las versiones 18.10.3, 18.9.5 y 18.8.9 para sus ediciones Community y Enterprise, corrigiendo un total de 12 vulnerabilidades de seguridad que afectan desde instancias auto-gestionadas hasta pipelines de CI/CD completos. La compañía recomienda actualizar de inmediato a cualquiera de estas tres versiones parchadas, ya que tres de los fallos tienen severidad alta y podrían comprometer la disponibilidad del servicio o permitir acciones no autorizadas en el servidor.
El fallo más crítico, identificado como CVE-2026-5173 con CVSS 8.5, reside en las conexiones WebSocket de GitLab CE/EE. Un atacante autenticado podía invocar métodos del lado del servidor que no estaban destinados a ser expuestos, debido a controles de acceso inadecuados. La vulnerabilidad afecta todas las versiones desde la 16.9.6 hasta las versiones anteriores a 18.8.9, 18.9.5 y 18.10.3.
El vector de ataque es remoto, con complejidad baja y requiere autenticación de bajo privilegio, lo que amplifica el riesgo en entornos corporativos con cientos de desarrolladores con acceso legítimo. Según el anuncio oficial de GitLab, la falla fue descubierta internamente por Simon Tomlinson, miembro del equipo de seguridad de la compañía.
Dos vulnerabilidades adicionales de severidad alta permiten denegación de servicio. CVE-2026-1092 (CVSS 7.5) afecta la API de bloqueo de estado de Terraform, donde un atacante sin autenticación podía enviar payloads JSON maliciosos para interrumpir el servicio.
Por su parte, CVE-2025-12664 (CVSS 7.5) explota la API GraphQL mediante consultas repetitivas que saturan los recursos del servidor, también sin necesidad de autenticación previa. Ambos fallos representan un riesgo particular para organizaciones que exponen sus instancias GitLab a internet, un patrón común en equipos distribuidos de desarrollo.
El paquete de parches también aborda siete vulnerabilidades de severidad media que merecen atención. CVE-2026-1516 (CVSS 5.7) permite inyección de código en los reportes de Code Quality, un atacante autenticado podía inyectar contenido malicioso que al ser visualizado por otros usuarios, revelaba sus direcciones IP.
CVE-2026-4332 (CVSS 5.4) es una vulnerabilidad de cross-site scripting en los dashboards de analytics personalizados, mientras que CVE-2026-1403 (CVSS 6.5) permite bloquear los workers Sidekiq mediante archivos CSV manipulados durante la importación.
Las versiones afectadas abarcan un rango amplio del ciclo de vida de GitLab. Para CVE-2026-5173, el impacto se extiende desde la versión 16.9.6, lo que significa que instalaciones que no se han actualizado en más de un año siguen siendo vulnerables.
GitLab enfatiza que las instancias hospedadas en GitLab.com y los clientes de GitLab Dedicated ya están protegidos, ya que la compañía aplicó los parches en sus servidores antes del anuncio público. Sin embargo, las organizaciones con despliegues auto-gestionados, omnibus, código fuente o Helm charts deben proceder con la actualización manual.
El proceso de actualización no requiere migraciones de base de datos complejas, lo que permite que despliegues multi-nodo se actualicen sin tiempo de inactividad. Para entornos críticos expuestos a internet, el SLA recomendado es aplicar el parche en las próximas 24 a 48 horas, priorizando instancias con usuarios externos o pipelines de CI/CD que procesen código de producción. Los detalles técnicos completos de cada vulnerabilidad se publicarán en el tracker de issues de GitLab 30 días después de este lanzamiento, siguiendo la política de disclosure responsable de la compañía.
FUENTE ORIGINAL
GitLab↗CURADO POR
Johan Ricardo