GitLab ha lanzado actualizaciones de seguridadpara Community Edition y Enterprise Edition, solucionando 15 vulnerabilidades en las versiones 18.9.2, 18.8.6 y 18.7.6. La compañía dice que los administradores autogestionados deberían actualizar lo antes posible, mientras que GitLab.com y GitLab Dedicated ya ejecutan el código parcheado.
El problema más grave en estela versión es CVE-2026-1090, una falla de secuencias de comandos entre sitios de alta gravedad con una puntuación CVSS de 8,7. GitLab dice que el error afecta el procesamiento de marcadores de posición de Markdown cuando el indicador de función de marcadores de posición de Markdown está habilitado, y podría permitir que un atacante autenticado inyecte JavaScript malicioso en el navegador de una víctima.
La actualización también corrige varios errores de denegación de servicio, incluidos tres problemas de alta gravedad con puntuaciones CVSS 7.5.GitLab dice que uno afectala API GraphQL a través de recursividad incontrolada, otro llega a los puntos finales de archivo del repositorio y un tercero impacta la API de ramas protegidas a través de cargas útiles JSON especialmente diseñadas.
Esto hace que la versión de GitLab de marzo de 2026 sea importante tanto para la seguridad como para el tiempo de actividad. Algunas de las fallas pueden permitir a los atacantes bloquear servicios expuestos sin autenticación, mientras que otras podrían permitir ataques basados en navegador o acceso no autorizado a datos en condiciones específicas.
Lo que arregló GitLab
| CVE | Gravedad | Componente | descripción de GitLab |
|---|---|---|---|
| CVE-2026-1090 | Alto 8.7 | Marcadores de posición de rebajas | problema XSS |
| CVE-2026-1069 | Alto 7.5 | API GraphQL | DoS via uncontrolled recursion |
| CVE-2025-13929 | Alto 7.5 | Puntos finales de archivo del repositorio | DoS a través de solicitudes especialmente diseñadas |
| CVE-2025-14513 | Alto 7.5 | API de sucursales protegidas | DoS a través de cargas útiles JSON especialmente diseñadas |
| CVE-2025-13690 | Medio 6.5 | Encabezados personalizados de webhook | DoS |
| CVE-2025-12576 | Medio 6.5 | Punto final del webhook | DoS |
Fuente: aviso de lanzamiento del parche de GitLab.
Detalles clave del aviso
GitLab dice que CVE-2026-1090 afectatodas las versiones desde 10.6 antes de 18.7.6, 18.8 antes de 18.8.6 y 18.9 antes de 18.9.2. La compañía atribuye el informe a un investigador de HackerOne y señala que la falla solo se aplica cuando la marca de función de marcadores de posición Markdown está habilitada.
Para los errores de API y disponibilidad del servicio,GitLab dice CVE-2026-1069puede permitir que un usuario no autenticado active la denegación de servicio con solicitudes GraphQL especialmente diseñadas, CVE-2025-13929 puede afectar los puntos finales de archivo del repositorio y CVE-2025-14513 afecta la API de ramas protegidas. Los tres tienen la misma calificación CVSS de 7,5 en el boletín de GitLab.
La versión también soluciona varios problemas de menor gravedad más allá de XSS y DoS. Estos incluyen riesgos de solicitudes internas relacionadas con CRLF en la funcionalidad de importación, control de acceso inadecuado en la API de los corredores, divulgación de metadatos a través de la representación de fragmentos, divulgación de títulos de problemas confidenciales y un problema de autorización en el Registro virtual de GitLab EE.
Qué deberían hacer los administradores ahora
- Actualice las instancias autoadministradas de GitLab CE o EE a 18.9.2, 18.8.6 o 18.7.6.
- Espere migraciones periódicas durante las actualizaciones a 18.9.2 y 18.8.6.
- Utilice la guía de actualización sin tiempo de inactividad de GitLab para implementaciones de múltiples nodos.
- Utilice la guía de actualización estándar para instalaciones de un solo nodo, que pueden experimentar un breve tiempo de inactividad.
- No es necesario realizar ninguna acción para los usuarios de GitLab.com y GitLab Dedicated porque GitLab dice que esos servicios ya están parcheados.
Por qué se destaca este lanzamiento
Esta no es sólo una actualización de mantenimiento menor. GitLab incluyó un conjunto relativamente grande de correcciones en una versión de parche, y la combinación incluye XSS del lado del navegador, riesgos de interrupción del servicio no autenticados y problemas de exposición de datos. Para las organizaciones que ejecutan GitLab autoadministrado como plataforma de desarrollo central, los retrasos en la aplicación de parches podrían afectar tanto la seguridad como la productividad de los desarrolladores.
El aviso también muestra cuán amplios pueden ser los rangos de versiones afectadas de GitLab. Varias fallas se remontan a muchas líneas de lanzamiento, lo que significa que las implementaciones autoadministradas más antiguas pueden permanecer expuestas hasta que los administradores instalen una de las versiones parcheadas.
Preguntas frecuentes
¿Qué versiones solucionan las vulnerabilidades?
GitLab dice que las versiones parcheadas son 18.9.2, 18.8.6 y 18.7.6 tanto para CE como para EE.
¿Cuál es el error más grave de esta actualización?
GitLab enumera CVE-2026-1090 como el problema de mayor gravedad, con una puntuación CVSS de 8,7. Es una falla XSS en el procesamiento de marcadores de posición de Markdown.
¿Pueden los atacantes no autenticados aprovechar alguno de los errores de DoS?
Sí. GitLab dice que atacantes no autenticados podrían abusar de las fallas de la API GraphQL, el punto final del archivo del repositorio y la API de ramas protegidas bajo ciertas condiciones.
¿Los usuarios de GitLab.com necesitan parchear algo manualmente?
No. GitLab dice que GitLab.com y GitLab Dedicated ya ejecutan las versiones corregidas.
¿La actualización provocará tiempo de inactividad?
GitLab dice que 18.9.2 y 18.8.6 incluyen migraciones regulares. Las implementaciones de múltiples nodos pueden utilizar procedimientos sin tiempo de inactividad, mientras que las instalaciones de un solo nodo pueden experimentar un breve tiempo de inactividad.