GitLab ha publicado una ronda extraordinaria de actualizaciones de seguridad para GitLab Community Edition (CE) y Enterprise Edition (EE), corrigiendo una vulnerabilidad crítica de bypass de autenticación de dos factores (2FA) y varias fallas que permiten ataques de denegación de servicio (DoS). Todas las organizaciones que operan instancias autogestionadas de GitLab deberían aplicar los parches sin demora.
CVE-2026-0723: bypass de 2FA y compromiso total de cuentas en GitLab
La vulnerabilidad identificada como CVE-2026-0723 afecta tanto a GitLab CE como a GitLab EE y se origina en una gestión incorrecta de los valores devueltos por los servicios de autenticación. Si un atacante conoce el identificador de la cuenta de la víctima, puede manipular la respuesta del dispositivo de segundo factor y superar la verificación 2FA, incluso cuando esta está marcada como obligatoria.
En la práctica, esto convierte cualquier combinación previamente robada o adivinada de usuario y contraseña en un acceso pleno al entorno GitLab, anulando la principal defensa frente a credenciales filtradas. Dado que GitLab se utiliza de forma masiva como plataforma DevSecOps crítica (gestión de código fuente, CI/CD, secretos y artefactos), el impacto potencial incluye desde la inyección de backdoors en repositorios hasta la manipulación de imágenes de contenedores y paquetes distribuidos a clientes.
Riesgos para la cadena de suministro de software
Los incidentes recientes de la cadena de suministro de software han demostrado que comprometer una sola cuenta con privilegios en un sistema de desarrollo puede desencadenar un efecto dominó en múltiples organizaciones. En entornos GitLab, el bypass de 2FA permite a un atacante modificar pipelines, introducir código malicioso en proyectos críticos o alterar artefactos de despliegue, con la posibilidad de propagarse de forma silenciosa a todo el ecosistema de partners y clientes.
Amenazas de denegación de servicio: múltiples vectores DoS en GitLab
CVE-2025-13927 y CVE-2025-13928: DoS crítico explotable sin autenticación
Además del bypass de 2FA, GitLab ha corregido dos vulnerabilidades críticas de denegación de servicio, CVE-2025-13927 y CVE-2025-13928, que pueden ser explotadas por atacantes no autenticados. En el primer caso, el envío de peticiones con datos de autenticación malformados fuerza al servidor a consumir recursos de forma desproporcionada, lo que puede generar saturación y caída del servicio.
La vulnerabilidad CVE-2025-13928 está relacionada con errores en la validación de permisos de acceso a la API. Un actor malicioso, sin necesidad de cuenta, puede construir una secuencia específica de llamadas a la API que provoque un estado de indisponibilidad del servicio. Para organizaciones cuya actividad depende de pipelines CI/CD y repositorios siempre disponibles, este tipo de ataques DoS se traduce directamente en paradas de desarrollo y retrasos en entregas y releases.
Fallas de severidad media: Wiki y SSH también como vectores DoS
El fabricante también ha solucionado dos vulnerabilidades catalogadas como de riesgo medio, pero que igualmente pueden derivar en DoS: CVE-2025-13335 y CVE-2026-1102. La primera se debe al procesamiento de contenido Wiki especialmente construido, capaz de sortear los controles de dependencias cíclicas y desencadenar un consumo intensivo de recursos cuando se renderiza o procesa dicho contenido.
La vulnerabilidad CVE-2026-1102 afecta al subsistema de autenticación por SSH. La repetición continua de solicitudes SSH inválidas permite a un atacante sobrecargar el servidor GitLab, afectando no solo al propio servicio, sino potencialmente a la infraestructura de red adyacente, con un efecto DoS más amplio.
Versiones de GitLab protegidas y alcance del riesgo
Para mitigar todas estas vulnerabilidades, GitLab ha publicado las versiones 18.8.2, 18.7.2 y 18.6.4 de GitLab CE y EE. La recomendación oficial es que cualquier instancia autogestionada se actualice de inmediato a una de estas versiones, previa copia de seguridad y planificación de una ventana de mantenimiento.
El servicio GitLab.com ya ha sido actualizado por el proveedor, por lo que los usuarios de la plataforma en la nube no necesitan realizar acciones adicionales. Los clientes de GitLab Dedicated también quedan cubiertos mediante las actualizaciones gestionadas automáticamente dentro del servicio.
Según datos de Shadowserver, existen alrededor de 6000 instancias de GitLab CE expuestas públicamente, mientras que el motor de búsqueda Shodan identifica más de 45 000 dispositivos relacionados con GitLab. Dado que la base de usuarios supera los 30 millones de cuentas registradas y más del 50 % de las empresas Fortune 100 utilizan GitLab, cualquier vulnerabilidad crítica en esta plataforma adquiere relevancia sistémica para la ciberseguridad global y la resiliencia de la cadena de suministro de software.
Recomendaciones clave para mejorar la seguridad de GitLab
Como medidas prioritarias, se recomienda actualizar GitLab a las versiones 18.8.2, 18.7.2 o 18.6.4 tan pronto como sea posible, limitar la exposición de la interfaz web y SSH mediante VPN, WAF y listas de IP permitidas, reforzar las políticas de autenticación (2FA, SSO corporativo, contraseñas robustas) y habilitar un monitorizado detallado de logs y alertas para detectar picos de peticiones, intentos de fuerza bruta o patrones compatibles con ataques DoS. Mantener un seguimiento activo de los boletines de seguridad de GitLab y de las buenas prácticas DevSecOps es esencial para reducir la superficie de ataque y evitar que vulnerabilidades como CVE-2026-0723 se traduzcan en compromisos reales de código, artefactos y operaciones críticas.
